Для нас «Охота за ошибками» — это возможность ещё раз проверить на прочность системы безопасности Яндекса. Поэтому мы заинтересованы в том, чтобы в программе поучаствовало больше хороших специалистов. В этом году мы перезапустили «Охоту»: награды стали больше, а условия — прозрачнее.
Теперь за сообщение об ошибке можно получить до 750 тысяч рублей. Выше всего оцениваются уязвимости, которые позволяют потенциальным злоумышленникам совершить так называемую инъекцию — то есть выполнить на сервере свой код.
В «Охоте за ошибками» два направления: первое — инфраструктура, сервисы и приложения Яндекса, второе — Яндекс.Браузер. Для каждого направления мы разработали подробную классификацию уязвимостей. Из неё «охотники» могут узнать, какие типы ошибок нас интересуют в первую очередь и какое вознаграждение за них полагается.
Получив сообщение об ошибке, мы проводим мини-расследование — нужно подтвердить уязвимость и проверить, насколько она опасна. Чем серьёзнее ошибка, тем больше будет вознаграждение «охотнику». Раньше результатов проверки можно было ждать довольно долго. Сейчас мы справляемся быстрее: сообщения «охотников» рассматривают дежурные инженеры службы безопасности вместе с командой сервиса, в котором найдена ошибка.
У участников «Охоты за ошибками» иногда возникают вопросы, на которые сложно найти ответ самостоятельно: например, какие данные нужно предоставить, чтобы получить награду, или что делать, если перевод не приходит. Теперь у программы есть собственная служба поддержки — к ней можно обращаться в подобных ситуациях.