Месяц поиска уязвимостей Яндекса

security-report@yandex-team.ru. Форма свободная, однако, чтобы мы точно вас поняли, обязательно укажите:

• название сервиса, на котором обнаружена уязвимость;
• имя уязвимого скрипта, функции или передаваемого параметра;
• пошаговое описание действий, которые должны быть выполнены для воспроизведения уязвимости.

Вы можете также приложить к письму скриншоты, если считаете, что это повысит наглядность.

Все желающие могут воспользоваться нашим PGP-ключом для шифрования сообщения.

Ограничения

• тестировать и демонстрировать уязвимость разрешается только на своей тестовой учётной записи. Взламывать чужие учётные записи ни в коем случае нельзя;
• в течение 90 дней с момента отправки информации об уязвимости в Яндекс нельзя раскрывать подробности о ней третьим сторонам, в том числе публиковать их в открытых или закрытых источниках. В течение этих 90 дней участник также обязуется приложить разумные усилия для того, чтобы информация об уязвимости не стала доступна третьим сторонам.

Что происходит после отправки сообщения

Отправляя нам письмо с описанием уязвимости, вы автоматически становитесь участником конкурса. Мы можем связаться с вами, чтобы уточнить контактные данные.

Итоги конкурса и приз

Группа экспертов из службы информационной безопасности Яндекса проанализирует все присланные уязвимости. 25 ноября 2011 года на конференции по информационной безопасности ZeroNights мы подведём итоги конкурса.
Участник, нашедший и первым сообщивший о самой критической, с нашей точки зрения, уязвимости получит приз — $5000.
С  победителем конкурса мы свяжемся до объявления итогов и пригласим на конференцию.

Можно ли рассказать всем об обнаруженной уязвимости, если вы не победили

Любой участник конкурса имеет право раскрыть детали обнаруженной уязвимости только спустя 90 календарных дней с момента отправки сообщения в Яндекс.

Подробнее об участии в конкурсе читайте в Положении.

Тэги: ya.ru:author:129411515, ya.ru:text