Яндекс запускает очередной конкурс по усилению защиты данных в рамках программы «Охота на ошибки». Этические хакеры будут искать ошибки и XSS-уязвимости в сервисах компании, которые могут привести к раскрытию конфиденциальной информации. Конкурс продлится до 31 января.
Основная цель конкурса — поиск уязвимостей XSS и межсайтового скриптинга. Злоумышленники могут использовать эти типы уязвимостей для атаки на приложения и службы. Они ищут способы обхода политик безопасности, внедряют вредоносный код в веб-страницы и атакуют учетные записи с целью выполнения действий на сайте от имени пользователей.
В ходе конкурса вознаграждение за все виды XSS-уязвимостей было увеличено в несколько раз. Это будет зависеть от критичности уязвимости, простоты ее эксплуатации и влияния на безопасность данных пользователей и партнеров. Максимальное вознаграждение за критическую уязвимость составит 500 000 рублей.
Яндекс борется с XSS-атаками и снижает риск внедрения вредоносного кода с помощью специальных мер. Например, сервисы Яндекса используют Content Security Policy — международный стандарт, позволяющий указать, из каких источников сайт может загружать скрипты, изображения, шрифты и другой контент. Это затрудняет запуск вредоносных кодов на веб-сайте и блокирует загрузку контента из ненадежных источников.
Для проверки возможных уязвимостей участники должны использовать только свои собственные тестовые учетные записи; попытки доступа к информации других пользователей запрещены. Яндекс приоритезирует обнаруженные ошибки и быстро их исправляет.
Яндекс регулярно устраивает конкурсы, посвящённые различным номинациям программы Bug Hunt, предыдущий конкурс по защите данных состоялось в августе 2023 года.
«Охота на насекомых— программа, направленная на поощрение этических хакеров, которые обнаруживают уязвимости в продуктах и получают за это вознаграждение. В 2012 году Яндекс первым в России копье аналогичная программа.
