Лидер российского интернет-рынка компания «Яндекс» объявила месячник борьбы с уязвимостями в своих сервисах. К участию в месячнике приглашаются все желающие, обладающие достаточными знаниями и опытом. Специалист, нашедший самую серьёзную уязвимость, получит от компании премию в размере 5 000 долларов.
Недостатки в безопасности «Яндекс» предлагает искать на сервисах поисковой системы, которые тем или иным образом используют в своей работе данные пользователей, не предназначенные для широкой огласки. Это может быть личная информация, переписка, закрытые фото и видеоальбомы. В список проверяемых сервисов включена и социальная сеть «Мой Круг».
Искать необходимо те угрозы, которые могут повлечь нарушение приватности информации, её целостности и доступности. «Яндекс» приводит примеры уязвимостей, которые беспокоят компанию в первую очередь: межсайтовый скриптинг ((XSS), межсайтовые ложные запросы (CSRF), небезопасное проведение сессии, вмешательство и ошибки в определении и авторизации пользователей.
В меньшей степени «Яндекс интересуют уязвимости, возможные в почтовом и FTP-серверах, сервис «Яндекс.Деньги», посторонние ресурсы, сотрудничающие с компанией. Не будут рассматриваться ошибки, допущенные пользователями, такие, как слабые пароли. Не интересуют специалистов «Яндекса» погрешности, допускающие DoS- или DDoS-атаки и такие технологии социальной инженерии, как фишинг.
Добровольным исследователям, нашедшим проблему, предлагается сообщить о ней в свободной форме в электронном письме, отправленном на адрес технической службы «Яндекса». Описание уязвимости должно быть достаточно подробным, включая точное описание всех шагов, необходимых для правильного воспроизведения опасной ситуации.
Все сообщения будут рассмотрены специалистами по информационной безопасности компании «Яндекс». Итоги месячника безопасности планируется подвести на специальной пресс-конференции 25 ноября текущего года. Лучшему искателю уязвимостей по версии компании будет вручена премия в 5 000 долларов.
Привлекая к работе над безопасностью сервисов независимых специалистов, «Яндекс» повторяет успешный опыт компании Google. Американская корпорация не первый год практикует такое сотрудничество. Одним из лучших помощников Google признан студент из России Сергей Глазунов.
По материалам CNews
Подпишись на рассылку и не пропускай важные мероприятия и семинары, анонсы постов. Получай бесплатные полезные материалы, советы, подборки кейсов и статей за неделю. Будь в курсе!