Yandex.BugBounty - Как Яндекс игнорирует свою программу по защите сервисов

Февраль. Начало.

Я начал заниматься информационной безопасностью, выводить первые баунти за найденные уязвимости.

В один из обычных зимних деньков я шарился в программах, которые готовы платить за баг-репорт, и наткнулся на Яндекс.

Меня заинтересовала их багбаунти, и я решил начать искать уязвимости у них. В первый же день я нашел одну уязвимость и отправил ее в багбаунти — всё. Осталось только ждать ответа и радоваться полученному вознаграждению...

Март. Апрель. Май. Июнь...

Думаю, понятно, что ни ответа, ни вознаграждения я не получил.

Я уже вовсе забыл о той уязвимости, найденной в феврале, и ради интереса поискал уязвимости на одном из их сервисов — нашел новую, но уже более серьезную.
Сразу в голове у меня всплыл тот репорт, отправленный еще в феврале, и я решил начать напоминть Яндексу о нем. Сначала я отправил сообщение в поддержку Яндекса - получил ответ, правда..

Сообщение в Яндекс.Саппорт
Сообщение в Яндекс.Саппорт

Обещают в течение часа, интересно. Час прошел, правда, прошло уже 144 часа как минимум... А ответа нет и нет...

Я сразу понял, что поддержка Яндекса - безнадежность, поэтому отправился в онлайн поддержку в Twitter, написал им в директ, немного порешав, мне ответили.

Ответ Яндекса на сообщения в Twitter
Ответ Яндекса на сообщения в Twitter

Прошло 5 дней, мне кажется, что смысла пытаться просить саппорт - нет.

Кстати, писал еще в Яндекс в ВК, но там тоже игнорируют.

Ладно, залезу, посмотрю, что там в регламенте Яндекса о багбаунти:

7.4. Организатор уведомляет Участника о результатах оценки Уязвимости и о принятом Комиссией решении не позднее 30 (тридцати) дней с даты получения Организатором сообщения от Участника об обнаруженной Уязвимости.

...

9.3. Выплата Приза осуществляется Организатором не позднее 3 (трех) месяцев со дня сообщения о результатах оценки найденной Уязвимости Организатором Участнику в соответствии с п. 7.4. Положения и при условии предоставления Победителем документов, перечисленных в п. 10.2. настоящего Положения в порядке, предусмотренном п. 10.3. настоящего Положения.

Прошло четыре месяца - нарушение регламента очевидно.

Еще хочу сказать, что я не первый человек, и думаю, что не последний, если Яндекс продолжит так относиться к людям, которые тратят свое время на их безопасность взамен на такое отношение.

Yandex.BugBounty - Как Яндекс игнорирует свою программу по защите сервисов
Yandex.BugBounty - Как Яндекс игнорирует свою программу по защите сервисов

Номера репортов: 19021719203906736, 19070214092565415

1616
11 комментариев

Совсем уже не удивляюсь таким статьям о Яндексе. Раньше символом днища по отношению к пользователю был Мэйл Ру. Но текущая реальность такова, что Яндекс превзошел все мыслимые и немыслимые днища.

Яндекс - компания, у которой мозг работает только в одном направлении - куда ещё встроить рекламу, растрачивая последние крупицы своего былого авторитета и доверия пользователей.

7

Чуть-чуть оффтоп:
Они, вот уже почти год, умеют перемешивать одну композицию в плейлисте. Исправить такую ошибку на фронте ~ 2 минуты) За пруфами к тикету 18092010235223119

5

Аналогичная ситуация, регламент нарушен.
Уязвимость подтвердили в апреле 2019 года. Денег до сих пор нет.
Тикет: 19041818575468289

1

Чем закончилось?

Да, тоже апрель, кстати.

Вот жеж разгильдяи какие!

1

Присоединяюсь. Яша забил похоже. Ни ответа, ни привета. В зале славы появился, письмо в подтверждением было, выплаты нет. Пару недель назад отписал им с вопросом. В ответ - тишина. Тикет Ticket#19033019582481440

1