«Яндекс» удвоил максимальную выплату для «белых» хакеров
«Яндекс» увеличил максимальную выплату для «белых» хакеров вдвое — до 3 миллионов рублей, если им удастся отыскать уязвимости в ряде сервисов, сообщила компания. «Яндекс» вдвое увеличил максимальный размер вознаграждения в программе «Охота за ошибками». Теперь за сообщение об ошибке «белые» хакеры могут получить до 3 миллионов рублей — в случае, если им удастся отыскать уязвимость в «Яндекс Почте», «Яндекс ID» или Yandex Cloud», — сказано в релизе. В «Яндексе» добавили, что увеличение вознаграждения является способом привлечь к проверке высокопрофессиональных независимых экспертов. Размеры выплаты зависит от типа найденной уязвимости. Так, «белый» хакер получит максимальную выплату, если найдет в «Почте» или в «Яндекс ID» уязвимости типа RCE (Remote Code Execution) или удаленное выполнение кода — такие ошибки позволяют злоумышленнику запустить в системе вредоносный код.
Для Yandex Cloud увеличены выплаты до 3 миллиона рублей за уязвимости, специфичные для облачных сервисов, например, Virtual Machine escape — атаки на виртуализацию. Их цель заключается в том, чтобы выйти из виртуальной машины и получить доступ к операционной системе физического сервера в дата-центре, а также к другим виртуальным машинам на этом сервере.
«Безопасность «Почты», «Яндекс ID» и виртуальных машин Yandex Cloud критически важна, поэтому «Яндекс» уделяет особое внимание их защите. Так, «Яндекс ID» проверяет подлинность пользователя и дает доступ в экосистему «Яндекса» и к другим ресурсам. … В «Почту» приходят письма для сброса паролей, также к ней привязывают аккаунты в соцсетях, банках и других сервисах. А виртуальные машины в Yandex Cloud хранят и обрабатывают чувствительные данные клиентов и обеспечивают изоляцию клиентов друг от друга», — пояснили в компании. Впервые «Охота за ошибками» была запущена в 2012 году, это постоянная программа компании для «этичных» хакеров, то есть тех, кто разбирается в компьютерной безопасности, находит уязвимости в продуктах компаний в сфере информационных технологий и сообщает им об этом за награду.
