Сервис «Яндекс Еда» в два раза увеличил награду за нахождение уязвимостей

Информационная безопасность IT-компании
«Яндекс Еда» в два раза увеличил награду этичным хакерам, способным найти уязвимости в сервисе, сообщили Хабру в пресс-службе «Яндекса». Теперь максимальная сумма награды за найденную уязвимость составляет 1,5 млн рублей. Увеличение призового фонда компания объясняет усилением защиты. В частности, сервис свёл к минимуму количество сотрудников, имеющих доступ к информации о покупателях, участил проведение полного аудита безопасности и дал клиентам возможность стирать историю своих заказов. В июле и августе «Яндекс Еда» будет выдавать двойное вознаграждение за уязвимости определённых типов: кража пользовательских данных, мошенничество с промокодами, накрутка баллов «Яндекс Плюса» и фрод. Уязвимость Вознаграждение / в рублях Remote code execution (RCE) 440  000 — 1 500 000 Local files access и другое. (LFR, RFI, XXE) 150 000 — 890 000 Инъекции 150 000 — 890 000 SSRF кроме слепых 150 000 — 600 000 Слепая SSRF 40  000 — 200 000 Утечки памяти / IDORs / Раскрытие информации с защищенными личными данными или конфиденциальной информацией пользователя 18 000 — 520 000 Cross-Site Scripting (XSS) исключая self-XSS и домен *.yandex.net 30  000 — 220 000 Cross-Site Request Forgery (СSRF, Flash crossdomain requests, CORS) 15 000 — 150 000 Другие подтвержденные уязвимости Зависит от критичности Разные способы фрода 23 000 — 230 000 «Поиск уязвимостей в "Яндекс Еде" — это одно из направлений "Охоты за ошибками", постоянной программы "Яндекса" по премированию этичных хакеров, то есть тех, кто разбирается в компьютерной безопасности, находит уязвимости в продуктах IT-компаний и сообщает им об этом за награду. "Охота за ошибками" действует в "Яндексе" с 2012 года. Она помогает укреплять защиту сервисов: с каждым годом охотники находят всё меньше ошибок и сделать это становится всё сложнее. Такая "охота" — это стандартная практика для IT-компаний, которая позволяет им обнаруживать ошибки в постоянно обновляющихся продуктах», — указали в пресс-службе «Яндекса». 24 июня этого года пользователи «Яндекс Еды» получили возможность удалять информацию о своих заказах в личном кабинете «Яндекс ID» через инструмент для управления данными. По словам компании, удаление данных — необратимый процесс. Пользователи больше не смогут просмотреть в сервисе рекомендации любимых ресторанов и блюд, но сервис будет помнить адреса доставок и показывать заказы в «Яндекс.Лавке». В скором времени можно будет удалить информацию о заказах и в «Лавке».)
Теги:
Хабы: