Яндекс увеличил награду для охотников за ошибками в мобильных приложениях до миллиона рублей

Иллюстрация взята со страницы https://yandex.ru/bugbounty/index

Яндекс выделил направление мобильных приложений в отдельную категорию программы «Охота за ошибками» и увеличил размер максимальной выплаты за найденную ошибку в этой категории с 300 тысяч до 1 млн рублей. Увеличенные выплаты позволят привлечь больше внешних исследователей для проверки и повышения уровня безопасности приложений Яндекса.

Этичным хакерам предстоит искать уязвимости, которые могут повлиять на безопасную работу приложения — например, привести к раскрытию чувствительных данных. Вознаграждение будет зависеть от популярности приложения, влияния уязвимости на безопасность данных пользователей и других факторов.

Программа «Охота за ошибками» — один из инструментов Яндекса для проверки безопасности приложений и усиления защиты пользовательских данных. Все приложения также проходят внутренний аудит команды безопасности Яндекса.

Принципы безопасности лежат в основе разработки приложений Яндекса. Все критичные элементы, например, системы входа в аккаунт и методы оплаты, разработаны по единым правилам безопасности и универсальны для всех приложений. Это позволяет разработчикам использовать уже проверенные и защищенные элементы и не создавать их с нуля.

В 2023 году компания вдвое увеличила инвестиции в цифровую безопасность, направив 6 млрд рублей на усиление защиты систем хранения данных, развитие технологий защиты от DDoS-атак, борьбу с мошенничеством и другие направления. Кроме того, Яндекс регулярно проходит аудиты и подтверждает, что сервисы соответствуют стандартам безопасности.


Об «Охоте за ошибками»

Это постоянная программа Яндекса по премированию этичных хакеров — тех, кто разбирается в компьютерной безопасности, находит уязвимости в продуктах IT-компаний и сообщает им об этом за награду. Она помогает постоянно повышать надёжность сервисов и вовремя узнавать о возможных рисках. В 2012 году Яндекс первым в России запустил подобную программу.

Список ошибок и уязвимостей для «охоты», а также размеры денежных наград за их обнаружение можно посмотреть на сайте.