🔎🪲 Программа по поиску ошибок и уязвимостей «Охота за ошибками» действует в Яндексе уже более 10 лет. Сейчас фонд программы решили увеличить в 2,5 раза — до 100 миллионов рублей. Рассказываем о самом феномене багбаунти. Что такое багбаунти и зачем это компаниям? Багбаунти (англ. «награда за баг») — это поиск уязвимостей в сервисах и инфраструктуре компаний за вознаграждение. Он решает ряд задач. Во-первых, это независимая проверка, к которой подключаются внешние специалисты. Во-вторых, это повышает защищённость сервисов и инфраструктуры. Кто может участвовать? Любой пользователь. Но награду получает тот, кто нашёл ошибку первым. Какие есть ограничения? • Искать нужно проблемы в безопасности. Ошибка в интерфейсе или в слове — в службу поддержки. • Нельзя взламывать пользователей — только свои тестовые аккаунты. • Детали уязвимости нельзя раскрывать какое-то время (в Яндексе — 90 дней). Это нужно, чтобы ошибку исправили, хотя часто это занимает значительно меньше времени. • Сотрудники компании, объявившей о поиске ошибок, не могут в нём участвовать. • Бывают ограничения по возрасту. В «Охоте за ошибками» Яндекса участвуют пользователи 14+, а те, кто младше 18 лет, делают это с письменного согласия родителей. Что проверяют и что пытаются найти? Охотники смотрят, как защищена серверная инфраструктура, нет ли проблем с аутентификацией и авторизацией, проверяют ограничения в промоакциях и многое другое (вот каталог типичных уязвимостей). Компания может выбрать конкретные продукты для проверки, а может предложить искать везде. В Яндексе «Охота за ошибками» охватывает все сервисы и приложения, а также умные устройства. Много людей участвуют? Можно судить по результатам «Охоты за ошибками» в Яндексе за 2022 год: 414 исследователей прислали 905 отчётов, из них 288 были уникальными. За найденные ошибки Яндекс заплатил в сумме около 40 миллионов рублей. Можно научиться этому? Да. Например, записавшись в Школу информационной безопасности. Подписывайтесь 👉 @techno_yandex Не пропускайте новости Яндекса тут @@yandex