В июле и августе Яндекс Еда будет платить за уязвимости по двойному тарифу

Татьяна Никитина 04 Июля 2022 - 14:39

Домашние пользователи

...

Сервис «Яндекс Еда» объявил новый конкурс в рамках программы bug bounty, повысив суммы выплат в два раза. С 1 июля по 31 августа за найденную уязвимость можно будет получить от 15 тыс. до 1,5 млн рублей — в зависимости от степени опасности и потенциального ущерба.

Призовые выплаты увеличены, так как обнаружить слабые места на сервисе стало труднее. Весной «Яндекс Еда» провела полный аудит и усилила защиту: свела к минимуму число сотрудников с доступом к клиентским данным, исключила обработку такой информации вручную. В июне в аккаунте «Яндекса» также появилась функция удаления информации о заказах.

Объявив новый конкурс, организаторы задали основные направления для поиска уязвимостей:

раскрытие пользовательских данных — возможность просмотра чужих заказов, обход механизма сокрытия телефонных номеров курьера и клиента при звонке из приложения;
обход правил использования промокодов — активация чужих промокодов со своего аккаунта, возможность угадывания перебором;
накрутка бонусных баллов «Яндекс Плюса» — любой способ получения большого количества баллов без траты денег;
мошенничество со стороны курьера — к примеру, возможность получить плату без выполнения доставки.

Выше всего, как и прежде, ценятся ошибки, грозящие удаленным выполнением кода; за них «Яндекс Еда» готов заплатить от 440 тыс. до 1,5 млн рублей. Потолок для уязвимостей LFR, RFI, XXE и инъекции кода составляет 890 тыс. рублей. В случае с фродом сумма вознаграждения зависит от возможности масштабирования способа мошенничества, простоты его использования и степени возможного ущерба (установленная вилка — от 23 тыс. до 230 тыс. рублей).

Мероприятия по усилению защиты «Яндекс Еды» были проведены после утечки, которую выявили в конце февраля. В открытый доступ по вине инсайдера попали персональные данные 58 тыс. покупателей; в итоге сервис доставки еды был оштрафован на 60 тыс. рублей.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 20 Ноября 2025 - 20:28

GenAI (генеративный искусственный интеллект) Домашние пользователи

Продажи плюшевых ИИ-мишек приостановлены из-за их сексуальных фантазий

Базирующаяся в Сингапуре компания FoloToy сняла с продажи медвежат Kumma и другие игрушки на основе ИИ после того, как исследователи выявили их склонность к вредным советам и обсуждению сексуальных пристрастий.

Вендор интеллектуальных плюшевых мишек заявил, что проводит аудит безопасности ассортимента, использующего ИИ-технологии.

Набивной плюшевый мишка с интегрированным чат-ботом на основе GPT-4o производства OpenAI продавался по цене $99 и позиционировался как дружелюбный и знающий собеседник, которого оценят и любознательные дети, и их родители.

Как выяснилось, вооруженная ИИ приятная игрушка использует его без должных ограничений. Тестирование показало, что Kumma с готовностью выдают потенциально опасный контент — сведения о нетрадиционном сексе с наглядной графикой, а также советы о том, как зажигать спички и где отыскать в доме ножи.

Получив соответствующее уведомление, OpenAI заблокировала разработчика детских игрушек за нарушение ее политик. Вместе с тем исследователи с сожалением отмечают, что это не единичный случай: производство ИИ-игрушек пока никак не регулируется, а поток их продаж растет.

Удаление одного потенциально опасного продукта с прилавков, по мнению экспертов, не решит проблемы, пока не будет введен систематический контроль.

Стоит заметить, что детские игрушки на основе ИИ, склонного к галлюцинациям, способны нанести еще больший вред, чем некогда модные интерактивные куклы, мягкие зверики и роботы, подключенные к интернету и потому уязвимые к взлому и перехвату персональных данных.