«Яндекс Еда» в два раза увеличила награду за поиск уязвимостей в сервисе Статьи редакции
Размер выплат — от 15 тысяч до 1,5 млн рублей.
- В июле и августе «Яндекс Еда» будет выдавать двойное вознаграждение тем, кто найдёт уязвимости. Деньги можно получить за выявление кражи пользовательских данных, мошенничества с промокодами, накрутки баллов «Яндекс Плюса» и фрода, сообщили в компании.
- Списки ошибок и уязвимостей и размеры денежных наград за их обнаружение можно посмотреть здесь. Например, за обнаружение RCE-уязвимости можно получить от 440 тысяч до 1,5 млн рублей. Раскрытие информации с защищёнными личными данными пользователей — от 18 до 520 тысяч рублей.
- 1 марта «Яндекс Еда» сообщила об утечке данных пользователей: в базе были номера телефонов, информация о заказах и другие. 22 марта в интернете опубликовали карту с данными клиентов, через несколько дней сайт заблокировали. 30 мая исследователи утечек DLBI нашли в открытом доступе базу данных курьеров «Яндекс Еды» и Delivery Club, в сервисах подтвердили, что утечка — часть предыдущих инцидентов.
- В июне «Яндекс Еда» добавила функцию удаления данных о заказах.
11
показов
4.1K
открытий
Яндекс так обанкротится)))
Это дешевый pr ход, ситуацию с репутацией как-то надо исправлять. А так они могут пообещать хоть сикстилион. По факту, потом будут отмазки, что это не баг, а фича и вобще вы не первый кто обнаружил.
Пруфов конечно не будет
Bug bounty программы не вчера придумали. Описанные ситуации бывают, но не на регулярной основе
Комментарий недоступен
Комментарий недоступен
Это не про них. Урежут у сотрудников. Не с себя же они спрашивать будут
Не обанкротится, ведь держателем золотой акции является Российская Федерация. Со всеми вытекающими (хаха)
По-моему, тут можно отметить и похвалить отношение компании к ситуации в формате "мы обосрались, не хотим впредь повторения, вот награда за помощь".
Не все умеют признать и принимать свои ошибки
точно, именно поэтому коллективный иск отклонен, а за слив всей базы Яндекс заплатил 60 тысяч рублей
Только похвалить, только похвалить
Комментарий недоступен
Хотели бы также,но за каждый кейс
Вы вроде бы и правы, но в тоже время и нет, иск отклонила не компания, а суд. Здесь скорее вопросы к судебной системе
Вопросы к судебной системе, которая работает в зависимости от политической конъюнктуры, опасности прецедента и социальных статусов истца и ответчика. То есть, слегка перефразируя, иск отклонила компания, использовав суд в качестве эластичного прокси-изделия - прямо или опосредованно, не так уж и важно
Комментарий недоступен
Комментарий недоступен
Поздно. Мы уже обиделись. 😒
Комментарий недоступен
- Здрасти, я тут уязвимость нашёл.
- Спасибо, я передам.
- Ну типа вознаграждение там?
- проведём оценку значимости, в случае положительного решения сообщим отдельно, до свидания.
Бежит к своему начальнику:
- Здрасти, я тут уязвимость нашёл.
- Спасибо, я передам.
…
😁
Дешевле 60к штрафа заплатить и узнать об уязвимости из открытых источников))
У меня есть история как я мог бесплатно кататься на такси или получить 40.000€.
Мы с другом плотно изучали рынок такси убер в году так, 2017-2018. Поняли, что можно заработать на этом деле, путём регистрацией новых аккаунтов и применением промокода (Для маленьких городов стоимость поездки могла составить 0). Сделали телеграм бота, с автосозданием аккаунтов и созданием поездки. Все работало через систему запросов.
После успешного старта, мы начали по «приколу» менять исходящие и входящие запросов, ну например, что вместо Рио приедет Роллс-Ройс. А потом заметили исходящий запрос на тип оплаты Apple pay. У данного типа оплаты был свой идентификатор и вместо стандартного мы вписали туда «123». Мы думали, что приложение не даст вызвать такси с таким идентификатором, но оно вызвало. И водитель даже сам подтвердил, что все окей, оплата прошла (Мы ему отдали наличкой всю сумму поездки «как чай»).
Поняли, что это очень сильная уязвимость, начали тестировать в других агрегаторах и совершенно во всех работал этот способ. Мы нашли бесплатный способ ездить на такси.
Начали читать, касаемо выплат за данную уязвимость, и самая высокая была у Wheely - 40.000€.
Покатались мы так два раза на Wheely, и начали оформлять заявку на нахождение уязвимости. Заполнили, написали, каким образом можно от этой уязвимости уйти. Стали ожидать ответа. Ответа не поступало более двух недель, а потом оказалось, что проблему они исправили :)
К чему я это все…
Wheely - 40.000€ за нахождение уязвимости в системе платежей.
Яндекс - 15.000 рублей :D
p.s. На всякий случай - история выдуманная, товарищ майор…
После слива часть едоков может и не вернуться. Хотя большинству, разумеется, наплевать.
А вот кратное увеличение выплат за обнаружение проблем – это отлично! И даже надеюсь, что уязвимости найдут и их прикроют.
смысл прогерам объяснять яндексу их косяки за 15к (и даже за 1,5кк) (а Яндекс это жадная компания, она много денег никогда не даст) если можно продать на дарке.
после слива данных не юзаю яндекс через личный аккаунт, создаю левые + бонусом теперь юзаю промокоды каждый раз, ибо из-за слива пришлось переезжать в другую квартиру, а яндекс ответил "сожалеем, что так получилось"
Давай еще больше прохладных историй :)
Фанаты замучили, спать звонками в дверь не давали.
военкомат спать мешает )
зачем?
Зачем пришлось переезжать?
Если не ошибаюсь, то персональные данные утекли и у деливери. Не понятно в какой сервис уйдут едоки
Комментарий недоступен
В итоге всё сольёт какой-то менеджер :^)
Ну всё не могу говорить,я на поиски уязвимостей:D
а вы только представьте как могут обогатиться хакеры
1, они воруют данные и сливают их за деньги
2, они говорят, что нашли уязвимость и получают деньги
Комментарий недоступен
Так хакеры, способные находить серьезные уязвимости без денег и до этого не сидели)
На самом деле, если серьезно, сегодняшний хакер это прежде всего человек который хорошо владеет социальной инженерией. А технически взломать какой то ресурс сегодня без внутренней информации просто не возможно.
И так постоянно ищут уязвимости, вон и карту уже опубликовали и базы слили... Не сидят исследователи сложа руки.
Все настолько плохо?)
)
"Размер выплат — от 15 тысяч до 1,5 млн рублей"- Когда наварился на чужих слабостях и стал миллионером)
1.5 млн это видимо призовой фонд на год, который будет (может быть) делиться между внештатными тестировщиками-добровольцами
Не думаю, что аффилированным работникам платить будут, это потенциальный риск. И причем тут вообще год, если речь про находу уязвимости в определенный период? По-моему речь как раз про разовое обнаружение.
вместо одной московской булочки теперь две дают?
я заинтересован...
главная уязвимость автоматизированной системы - люди.
где мне забрать свои две булочки?
Нашел уязвимость: Сервис - говно!