«Яндекс Еда» в два раза увеличил награду этичным хакерам, способным найти уязвимости в сервисе, сообщили Хабру в пресс-службе «Яндекса». Теперь максимальная сумма награды за найденную уязвимость составляет 1,5 млн рублей. Увеличение призового фонда компания объясняет усилением защиты. В частности, сервис свёл к минимуму количество сотрудников, имеющих доступ к информации о покупателях, участил проведение полного аудита безопасности и дал клиентам возможность стирать историю своих заказов.
В июле и августе «Яндекс Еда» будет выдавать двойное вознаграждение за уязвимости определённых типов: кража пользовательских данных, мошенничество с промокодами, накрутка баллов «Яндекс Плюса» и фрод.
Уязвимость | Вознаграждение / в рублях |
|---|---|
Remote code execution (RCE) | 440 000 — 1 500 000 |
Local files access и другое. (LFR, RFI, XXE) | 150 000 — 890 000 |
Инъекции | 150 000 — 890 000 |
SSRF кроме слепых | 150 000 — 600 000 |
Слепая SSRF | 40 000 — 200 000 |
Утечки памяти / IDORs / Раскрытие информации с защищенными личными данными или конфиденциальной информацией пользователя | 18 000 — 520 000 |
Cross-Site Scripting (XSS) исключая self-XSS и домен *.yandex.net | 30 000 — 220 000 |
Cross-Site Request Forgery (СSRF, Flash crossdomain requests, CORS) | 15 000 — 150 000 |
Другие подтвержденные уязвимости | Зависит от критичности |
Разные способы фрода | 23 000 — 230 000 |
«Поиск уязвимостей в "Яндекс Еде" — это одно из направлений "Охоты за ошибками", постоянной программы "Яндекса" по премированию этичных хакеров, то есть тех, кто разбирается в компьютерной безопасности, находит уязвимости в продуктах IT-компаний и сообщает им об этом за награду. "Охота за ошибками" действует в "Яндексе" с 2012 года. Она помогает укреплять защиту сервисов: с каждым годом охотники находят всё меньше ошибок и сделать это становится всё сложнее. Такая "охота" — это стандартная практика для IT-компаний, которая позволяет им обнаруживать ошибки в постоянно обновляющихся продуктах», — указали в пресс-службе «Яндекса».
24 июня этого года пользователи «Яндекс Еды» получили возможность удалять информацию о своих заказах в личном кабинете «Яндекс ID» через инструмент для управления данными. По словам компании, удаление данных — необратимый процесс. Пользователи больше не смогут просмотреть в сервисе рекомендации любимых ресторанов и блюд, но сервис будет помнить адреса доставок и показывать заказы в «Яндекс.Лавке». В скором времени можно будет удалить информацию о заказах и в «Лавке».
