В Яндексе больше десяти лет существует программа Bug Bounty — «Охота за ошибками». Любой желающий может найти уязвимость в продуктах и сервисах Яндекса и сообщить о ней. После того, как инженеры проверят и устранят баг, — охотник за ошибками получит вознаграждение.
🔎 Подробнее о программе: https://clck.ru/3FH6ih
Это рубрика «Вопрос со звёздочкой», в которой разработчики и инженеры Яндекса рассказывают о сложных технологиях простым языком. В этом выпуске ведущий инженер по информационной безопасности Иван Чалыкин объясняет, зачем Яндексу своя багбаунти-программа, что вообще считается уязвимостью и как именно багхантеры охотятся за ошибками.
Таймкоды
00:08 Введение в безопасность в Яндексе
- Яндекс уделяет большое внимание безопасности сервисов и защите данных пользователей.
- Данные хранятся в защищенных хранилищах, принципы безопасности учитываются на ранних этапах разработки.
- Существует программа “охота за ошибками” для поиска уязвимостей, где сторонние специалисты ищут и сообщают о багах за награду.
00:44 Значение программы “охота за ошибками”
- Программа “охота за ошибками” повышает защиту продуктов, инфраструктуры и данных пользователей.
- Дополнительные ресурсы помогают находить больше ошибок.
- Не каждая ошибка считается уязвимостью; например, опечатка или не загрузившаяся картинка не влияют на безопасность.
01:12 Роль этичных хакеров
- Этичные хакеры, или “бакхантеры”, ищут уязвимости, чтобы помочь, а не навредить.
- Они используют различные подходы и методы для поиска ошибок.
- Пример: тестирование ссылок на новостном сайте для выявления уязвимостей.
02:25 Правила и награды программы
- Бакхантеры не могут атаковать реальных пользователей и вредить сервису.
- Для сообщений об уязвимостях есть сайт “охота за ошибками”, где можно подробно описать баг и приложить скриншот.
- Награды варьируются от нескольких тысяч до миллионов рублей в зависимости от популярности сервиса и влияния уязвимости.
02:54 Конкурсы и награды
- Проводятся конкурсы по поиску конкретных уязвимостей с повышенными наградами.
- Недавно была выделена категория поиска уязвимостей в мобильных приложениях с увеличенными наградами.
- Следите за новостями и участвуйте в программе “охота за ошибками”.
Таймкоды сделаны при помощи Нейросети YandexGPT – Ссылка https://300.ya.ru/v_1OylNS53
В этом видео
Что такое «Охота за ошибками»
0:08
Мы в Яндексе уделяем очень много
0:11
внимания безопасности сервисов и защите
0:13
данных пользователей для этого мы храним
0:16
данные в защищённых хранилищах учитываем
0:19
принципы безопасности на самых ранних
0:21
этапах разработки А ещё у нас есть своя
0:24
баба программа Охота за ошибками это
0:27
процесс когда сторонние специалисты ищут
0:30
и сообщают о них за награду в этом видео
0:33
я расскажу как устроена наша баба
0:35
программа Кто такие этичные хакеры и как
0:38
они ищут ошибки в сервисах
Зачем Яндексу багбаунти-программа
0:42
Яндекса бак Баунти – это правило
0:46
хорошего тона для компании которая
0:49
заботится о безопасности такие программы
0:52
повышают защиту продуктов инфраструктуры
0:55
и данных пользователя а ещ
0:57
дополнительные ресурсы конечно у нас в
1:00
Яндексе есть инженеры по безопасности
1:02
которые делают огромную работу но
1:04
согласитесь чем больше глаз тем больше
1:07
шансов Найти
Опечатка сойдёт за уязвимость?
1:12
ошибки скажу сразу не каждая ошибка
1:15
считается уязвимостью например опечатка
1:18
в тексте или не загрузивший се картинка
1:21
вряд ли повлияет на безопасность А вот
1:23
возможность удалить чужой комментарий
1:25
или несколько раз подряд применить
1:27
одноразовый промокод серьёзный баг
1:29
который мы посчитаем уязвимостью иногда
1:32
ошибки замечают просто внимательные
1:34
пользователи но как правило охотниками
1:37
за ошибками становятся независимые it
1:40
специалисты которые увлекаются
1:42
безопасностью важно что бакха ищут уя
1:45
змо не для того чтобы навредить А чтобы
1:47
помочь иначе говоря это полезные
Как охотники ищут ошибки
1:52
[музыка]
1:53
хакеры если обычные пользователи чаще
1:57
всего находят баги случайно то у опытных
1:59
багхантер Есть множество своих подходов
2:02
Они часто смотрят на безопасность с
2:05
новых неожиданных углов И что не менее
2:07
важно используют разные методы в поиске
2:10
ошибок объясню на реальном примере
2:13
представим новостной сайт в ссылке на
2:15
статью может быть скрыто множество
2:17
параметров дата публикации её тема её
2:20
номер багхантер начинает прощупываться
2:23
ссылку и экспериментировать с ней А что
2:26
если подставить в часть ссылки С
2:27
параметром даты не цифру а знак процента
2:31
если в системе допущена ошибка Она может
2:33
дать сбой таких гипотез багхантер могут
2:36
придумывать сотни и тестировать в
2:38
различных сервисах А чем разнообразнее
2:41
подходы тем эффективнее поиск при этом у
2:43
нашей баба программы Есть правила
2:46
например нельзя атаковать реальных
2:48
пользователей и вредить
Куда сообщать о находках
2:53
сервису для сообщений об
2:57
уязвимостями где можно подробно
3:00
рассказать о баге и приложить скриншот
3:03
после этого инженеры службы безопасности
3:05
Яндекса проанализирует сообщение а
3:07
разработчики исправят ошибку в
3:09
зависимости от того насколько сервис
Какие вознаграждения бывают?
3:11
популярен и как уязвимость влияет на
3:14
безопасность Бантер получает награду от
3:16
нескольких тысяч до миллионов рублей
3:19
только за двадцать третий год мы
3:21
выплатили охотникам около 70 млн руб а в
3:24
программе поучаствовала свыше 500
3:27
исследователей Кроме этого мы постоянно
3:29
проводим конкурсы по поиску конкретных
3:31
уязвимостей где награды могут быть в
3:34
несколько раз больше чем обычно конкурсы
3:36
помогают участникам охоты сфокусировать
3:39
внимание на наиболее важных для Яндекса
3:41
направлениях безопасности например
3:43
Недавно мы выделили поиск уязвимости
3:46
мобильных приложениях в отдельную
3:47
категорию и повысили максимальные
3:49
награды за находки в три раза следите за
3:52
нашими новостями А если решились на
3:55
поиск ошибок тогда удачной вам
3:58
охоты Y