Начался конкурс по поиску уязвимых мест Яндекса. В течение месяца комапнией будет осуществляться прием информации от пользователей о различных проблемах с безопасностью на разнообразных сервисах портала. 25 ноября на конференции по информационной безопасности ZeroNights будет объявлен победитель, который по результатам конкурса получит и денежное вознаграждение в сумме 5000 долларов. Пользователи, которые желают принять участие, могут искать уязвимости на различных сервисах Яндекса, которые используют, хранят и обрабатывают конфиденциальную информацию. Например, это закрытая переписка пользователей, личная фото и видеоинформация, аутентификационные данные. Главная задача всех конкурсантов — это поиск всех возможных уязвимостей, которые могут привести к раскрытию конфиденциальной информации о пользователе или, к примеру, доступ к данным пользователя. В том числе необходимо сообщать обо всех нарушениях, при которых возможны ниже перечисленные виды атак:
1. межсайтовая подделка запросов (CSRF),
2. различного рода инъекции,
3. межсайтовый скриптинг (XSS),
4. небезопасное управление сессией,
5. ошибки в механизмах аутентификации и авторизации, способствующие обходу этих механизмов.
Любую проблему, которую смогут обнаружить пользователи, необходимо детально описать и отправить на адрес электронной почты security-report@yandex-team.ru. Если вы хотите узнать дополнительную информацию о конкурсе, то можно посетить блог компании на Я.ру.