Яндекс объявил о двукратном увеличении максимального вознаграждения в программе «Охота за ошибками» до 3 миллионов рублей. Это изменение касается находок уязвимостей в сервисах, таких как Яндекс Почта, Яндекс ID и Yandex Cloud. Наивысшая награда предусмотрена за уязвимости типа RCE — удалённое выполнение кода, которые могут дать злоумышленникам возможность запускать вредоносный код в системе.
Также увеличились выплаты за другие виды уязвимостей, в том числе для SQL-инъекций. Яндекс заявляет, что будет уделять приоритетное внимание критическим ошибкам и оперативно их исправлять. Это решение помогает компании улучшить безопасность своих онлайн-сервисов, которые хранят и обрабатывают чувствительную информацию пользователей.
Яндекс ID — важный компонент экосистемы компании, который обеспечивает проверку подлинности пользователей и доступ к различным ресурсам. В Почту, например, часто приходят письма для сброса паролей. Вознаграждения для хакеров направлены на то, чтобы привлечь высокопрофессиональные кадры для поиска уязвимостей в этих сервисах.
С момента запуска программы в 2012 году, Яндекс стал первой российской компанией, предоставившей премии за сообщения об уязвимостях. Она позволила удостовериться в надежности систем защиты и оспаривать их устойчивость к атакам. С увеличением вознаграждений, компания надеется привлечь больше экспертов, способных находить сложные уязвимости.
Обращаясь к критической важности инфраструктуры, стоит отметить, что безопасность почтовых сервисов и облачного хранилища затрагивает данные миллионов пользователей. Увеличение вознаграждений может сподвигнуть ‘белых’ хакеров на более активные действия, что, в свою очередь, улучшит общую безопасность сервисов Яндекса и поспособствует большее количество обнаруженных уязвимостей.
Кроме того, Яндекс стремится пошагово интегрировать эти улучшения в свои сервисы, чтобы обеспечить пользователей уверенностью в безопасности своих данных. Некоторые из распределяемых вознаграждений можно увидеть на сайте Яндекса, где также доступны подробности о различных уязвимостях и потенциальных наградах за их нахождение.