В июле и августе Яндекс Еда будет платить за уязвимости по двойному тарифу

Татьяна Никитина 04 Июля 2022 - 14:39

Домашние пользователи

...

Сервис «Яндекс Еда» объявил новый конкурс в рамках программы bug bounty, повысив суммы выплат в два раза. С 1 июля по 31 августа за найденную уязвимость можно будет получить от 15 тыс. до 1,5 млн рублей — в зависимости от степени опасности и потенциального ущерба.

Призовые выплаты увеличены, так как обнаружить слабые места на сервисе стало труднее. Весной «Яндекс Еда» провела полный аудит и усилила защиту: свела к минимуму число сотрудников с доступом к клиентским данным, исключила обработку такой информации вручную. В июне в аккаунте «Яндекса» также появилась функция удаления информации о заказах.

Объявив новый конкурс, организаторы задали основные направления для поиска уязвимостей:

раскрытие пользовательских данных — возможность просмотра чужих заказов, обход механизма сокрытия телефонных номеров курьера и клиента при звонке из приложения;
обход правил использования промокодов — активация чужих промокодов со своего аккаунта, возможность угадывания перебором;
накрутка бонусных баллов «Яндекс Плюса» — любой способ получения большого количества баллов без траты денег;
мошенничество со стороны курьера — к примеру, возможность получить плату без выполнения доставки.

Выше всего, как и прежде, ценятся ошибки, грозящие удаленным выполнением кода; за них «Яндекс Еда» готов заплатить от 440 тыс. до 1,5 млн рублей. Потолок для уязвимостей LFR, RFI, XXE и инъекции кода составляет 890 тыс. рублей. В случае с фродом сумма вознаграждения зависит от возможности масштабирования способа мошенничества, простоты его использования и степени возможного ущерба (установленная вилка — от 23 тыс. до 230 тыс. рублей).

Мероприятия по усилению защиты «Яндекс Еды» были проведены после утечки, которую выявили в конце февраля. В открытый доступ по вине инсайдера попали персональные данные 58 тыс. покупателей; в итоге сервис доставки еды был оштрафован на 60 тыс. рублей.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Марта 2026 - 16:08

Security Vision 5 VM Корпорации Системы мониторинга событий безопасности SIEM-системы Средства управления информационной безопасностью Vulnerability Management (управление уязвимостями)SOAR (Security Orchestration, Automation and Response) Security Vision

Security Vision добавила в ранжирование уязвимостей сведения ФСТЭК России

Компания Security Vision сообщила, что усилила механизмы приоритизации уязвимостей в своих продуктах за счёт данных ФСТЭК России. Речь идёт об информации по так называемым «трендовым» уязвимостям — тем, для которых уже есть либо средства эксплуатации, либо подтверждения использования в реальных атаках.

Если совсем просто, теперь при ранжировании рисков система будет опираться не только на общие международные источники и формальные оценки опасности, но и на данные регулятора о том, какие уязвимости действительно используются на практике.

Это важно потому, что стандартные базы обычно во многом завязаны на CVSS — то есть на теоретическую оценку критичности. Но высокая оценка по CVSS ещё не всегда означает, что уязвимость прямо сейчас активно эксплуатируют. И наоборот: некоторые проблемы могут оказаться особенно актуальными именно в реальных атаках, даже если формально не выглядят самыми громкими.

В Security Vision уточнили, что сведения от ФСТЭК поступают в аналитический центр компании в рамках обмена информацией об угрозах. После этого данные включаются в ежедневные обновления пакетов экспертизы для нескольких продуктов компании, включая VM, NG SOAR, SIEM и TIP.

На практике это означает, что системы должны быстрее поднимать в приоритете именно те уязвимости, которые уже замечены в эксплуатации и потому требуют более срочного внимания со стороны ИБ-команд.

Если говорить шире, это ещё один шаг в сторону более прикладной оценки рисков: не только «насколько опасна уязвимость в теории», но и «насколько вероятно, что ею воспользуются прямо сейчас».