Yandex.BugBounty - Как Яндекс игнорирует свою программу по защите сервисов

Я начал заниматься информационной безопасностью, выводить первые баунти за найденные уязвимости.

В один из обычных зимних деньков я шарился в программах, которые готовы платить за баг-репорт, и наткнулся на Яндекс.

Меня заинтересовала их багбаунти, и я решил начать искать уязвимости у них. В первый же день я нашел одну уязвимость и отправил ее в багбаунти — всё. Осталось только ждать ответа и радоваться полученному вознаграждению...

Думаю, понятно, что ни ответа, ни вознаграждения я не получил.

Я уже вовсе забыл о той уязвимости, найденной в феврале, и ради интереса поискал уязвимости на одном из их сервисов — нашел новую, но уже более серьезную.
Сразу в голове у меня всплыл тот репорт, отправленный еще в феврале, и я решил начать напоминть Яндексу о нем. Сначала я отправил сообщение в поддержку Яндекса - получил ответ, правда..

Обещают в течение часа, интересно. Час прошел, правда, прошло уже 144 часа как минимум... А ответа нет и нет...

Я сразу понял, что поддержка Яндекса - безнадежность, поэтому отправился в онлайн поддержку в Twitter, написал им в директ, немного порешав, мне ответили.

Прошло 5 дней, мне кажется, что смысла пытаться просить саппорт - нет.

Кстати, писал еще в Яндекс в ВК, но там тоже игнорируют.

Ладно, залезу, посмотрю, что там в регламенте Яндекса о багбаунти:

Прошло четыре месяца - нарушение регламента очевидно.

Еще хочу сказать, что я не первый человек, и думаю, что не последний, если Яндекс продолжит так относиться к людям, которые тратят свое время на их безопасность взамен на такое отношение.

Номера репортов: 19021719203906736, 19070214092565415