Команда Яндекса рассказала о важных нововведениях в программе «Охота за ошибками». Теперь за сообщение об ошибке «белые хакеры» могут получить до 3 миллионов рублей — в случае, если им удастся отыскать уязвимость в «Яндекс Почте», «Яндекс ID» или Yandex Cloud.
Самое высокое вознаграждение в «Яндекс Почте» и «Яндекс ID», 3 миллиона рублей, полагается за уязвимости типа RCE — Remote Code Execution, или удалённое выполнение кода. Они позволяют злоумышленнику запустить в системе вредоносный код. Увеличились и выплаты за другие типы уязвимостей, например SQL-инъекции. Как обещают в компании, Яндекс отдаст приоритет всем присланным критическим ошибкам и оперативно их исправит.
Для Yandex Cloud увеличены выплаты до 3 млн рублей за уязвимости, специфичные для облачных сервисов, такие как Virtual Machine escape — атаки на виртуализацию. Их цель — найти возможность выйти из виртуальной машины — изолированной среды, имитирующей компьютер, — и получить доступ к операционной системе физического сервера в дата-центре, а также к другим виртуальным машинам на этом сервере.
