Цифры говорят
Яндекс вдвое увеличил максимальную награду для этичных хакеров — до 3 млн рублей
26.05.2025 |
Яндекс вдвое увеличил максимальный размер вознаграждения в программе «Охота за ошибками». Теперь за сообщение об ошибке «белые хакеры» могут получить до 3 миллионов рублей — в случае, если им удастся отыскать уязвимость в Яндекс Почте, Яндекс ID или Yandex Cloud.
Размер выплаты зависит от типа найденной ошибки. Самое высокое вознаграждение в Почте и Яндекс ID, 3 миллиона рублей, полагается за уязвимости типа RCE — Remote Code Execution, или удалённое выполнение кода. Они позволяют злоумышленнику запустить в системе вредоносный код. Увеличились и выплаты за другие типы уязвимостей, например SQL-инъекции. Яндекс отдаст приоритет всем присланным критическим ошибкам и оперативно их исправит.
Для Yandex Cloud увеличены выплаты до 3 млн рублей за уязвимости, специфичные для облачных сервисов, такие как Virtual Machine escape — атаки на виртуализацию. Их цель — найти возможность выйти из виртуальной машины — изолированной среды, имитирующей компьютер, — и получить доступ к операционной системе физического сервера в дата-центре, а также к другим виртуальным машинам на этом сервере.
Безопасность Почты, Яндекс ID и виртуальных машин Yandex Cloud критически важна, поэтому Яндекс уделяет особое внимание их защите. Так, Яндекс ID проверяет подлинность пользователя и даёт доступ в экосистему Яндекса и к другим ресурсам. Пользователи доверяют Яндекс ID чувствительную информацию: контакты, адреса, документы и не только. В Почту приходят письма для сброса паролей, также к ней привязывают аккаунты в соцсетях, банках и других сервисах. А виртуальные машины в Yandex Cloud хранят и обрабатывают чувствительные данные клиентов и обеспечивают изоляцию клиентов друг от друга.
Увеличение вознаграждения — способ привлечь к проверке высокопрофессиональных независимых экспертов и ещё раз убедиться в том, что сервисы надёжны и устойчивы к атакам. Посмотреть, какие сервисы Яндекса участвуют в «Охоте за ошибками» и какие вознаграждения предусмотрены за разные типы ошибок, можно на сайте.
«Охота за ошибками» ведётся с 2012 года. Яндекс стал первой российской компанией, которая начала премировать специалистов по компьютерной безопасности за сообщения об уязвимостях в своих сервисах. Программа позволяет устроить сервисам Яндекса дополнительную «проверку на прочность» и убедиться в надёжности систем защиты.
