Yandex.BugBounty - Как Яндекс игнорирует свою программу по защите сервисов
Февраль. Начало.
Я начал заниматься информационной безопасностью, выводить первые баунти за найденные уязвимости.
В один из обычных зимних деньков я шарился в программах, которые готовы платить за баг-репорт, и наткнулся на Яндекс.
Меня заинтересовала их багбаунти, и я решил начать искать уязвимости у них. В первый же день я нашел одну уязвимость и отправил ее в багбаунти — всё. Осталось только ждать ответа и радоваться полученному вознаграждению...
Март. Апрель. Май. Июнь...
Думаю, понятно, что ни ответа, ни вознаграждения я не получил.
Я уже вовсе забыл о той уязвимости, найденной в феврале, и ради интереса поискал уязвимости на одном из их сервисов — нашел новую, но уже более серьезную.
Сразу в голове у меня всплыл тот репорт, отправленный еще в феврале, и я решил начать напоминть Яндексу о нем. Сначала я отправил сообщение в поддержку Яндекса - получил ответ, правда..
Обещают в течение часа, интересно. Час прошел, правда, прошло уже 144 часа как минимум... А ответа нет и нет...
Я сразу понял, что поддержка Яндекса - безнадежность, поэтому отправился в онлайн поддержку в Twitter, написал им в директ, немного порешав, мне ответили.
Прошло 5 дней, мне кажется, что смысла пытаться просить саппорт - нет.
Кстати, писал еще в Яндекс в ВК, но там тоже игнорируют.
Ладно, залезу, посмотрю, что там в регламенте Яндекса о багбаунти:
Прошло четыре месяца - нарушение регламента очевидно.
Еще хочу сказать, что я не первый человек, и думаю, что не последний, если Яндекс продолжит так относиться к людям, которые тратят свое время на их безопасность взамен на такое отношение.
Номера репортов: 19021719203906736, 19070214092565415
Совсем уже не удивляюсь таким статьям о Яндексе. Раньше символом днища по отношению к пользователю был Мэйл Ру. Но текущая реальность такова, что Яндекс превзошел все мыслимые и немыслимые днища.
Яндекс - компания, у которой мозг работает только в одном направлении - куда ещё встроить рекламу, растрачивая последние крупицы своего былого авторитета и доверия пользователей.
Чуть-чуть оффтоп:
Они, вот уже почти год, умеют перемешивать одну композицию в плейлисте. Исправить такую ошибку на фронте ~ 2 минуты) За пруфами к тикету 18092010235223119
Аналогичная ситуация, регламент нарушен.
Уязвимость подтвердили в апреле 2019 года. Денег до сих пор нет.
Тикет: 19041818575468289
Чем закончилось?
Деньги пришли 11 октября.
Поздравляю!
Да, тоже апрель, кстати.
Вот жеж разгильдяи какие!
Присоединяюсь. Яша забил похоже. Ни ответа, ни привета. В зале славы появился, письмо в подтверждением было, выплаты нет. Пару недель назад отписал им с вопросом. В ответ - тишина. Тикет Ticket#19033019582481440
Как сейчас ситуация?
Были выплаты после, написали что сами олени. Мне не пришло т.к. я не успел обновить финансовую информацию. Но в целом видно, что они обновляли программу в части выдачи bounty (мб с законодательством как-то связано?), вероятно из-за этого происходили накладки.