Яндекс повысил премии за найденные уязвимости до 750 тысяч рублей

Татьяна Никитина 10 Июня 2021 - 14:09

Домашние пользователи

Корпорации

Яндекс

Средства поиска уязвимостей

Уязвимости программ

Патчи

...

Яндекс повысил премии за найденные уязвимости до 750 тысяч рублей

Компания «Яндекс» увеличила размеры наград, выдаваемых исследователям в рамках ее программы «Охота за ошибками». Отныне за сообщение об уязвимости ее системы безопасности можно будет получить до 750 тыс. рублей.

Собственную программу премирования баг-хантеров «Яндекс» запустил около десяти лет назад. На настоящий момент ее участникам совокупно выплачено свыше 30 млн рублей.

По условиям этой bug bounty, проблемы безопасности можно искать, изучая инфраструктуру «Яндекса», его веб-сервисы и приложения, в том числе Яндекс.Браузер. Сообщения об ошибках рассматривают дежурные сотрудники ИБ-службы компании вместе с командой затронутого объекта исследования.

Размер вознаграждения зависит от степени опасности уязвимости. Выше всего «Яндекс» ценит возможность удаленного выполнения стороннего кода на сервере (теперь от 220 тыс. до 750 тыс. рублей). За обнаружение уязвимости LFR, RFI или XXE либо возможности инъекции кода можно получить до 445 тыс. рублей, за побег из песочницы Яндекс.Браузер — до 370 тысяч.

Условия bug bounty «Яндекса» опубликованы на специализированном сайте компании. Участники программы также могут получить дополнительную информацию, обратившись в службу техподдержки «Охоты за ошибками».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 17 Октября 2025 - 17:34

Эксплойты Уязвимости программ Корпорации F5 Networks

В интернете найдены 269 000 устройств F5 с незакрытыми уязвимостями

После обнародования атаки на F5 эксперты начали сканировать Сеть в поисках хостов, уязвимых к взлому. В Shadowserver Foundation такие проверки проводятся автоматом и ежедневно; результаты оказались плачевными: под ударом около 269 тыс. устройств.

Напомним, авторам атаки удалось проникнуть в сеть F5 и выкрасть исходники продуктов линейки BIG-IP, а также данные о новых опасных уязвимостях.

Обнаружив утечку, вендор в срочном порядке выпустил патчи и усилил защиту своей инфраструктуры. Судя по данным Shadowserver, реакция его многочисленных клиентов оказалась менее быстрой.

Согласно статистике, опубликованной активистами в X и на своем сайте, половина доступных из интернета и потенциально уязвимых устройств F5 (отслеживаются по IP) находятся в США:

Публично доступный интерфейс управления критически важными сетевыми устройствами — настоящий подарок для злоумышленников. Эксплойт позволяет закрепиться в целевой сети, развить атаку и украсть конфиденциальные данные.

Пользователям продуктов F5 и админам рекомендуется обновить BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ и клиенты APM в кратчайшие сроки.