Прорех в Яндексе нашли больше, чем рассчитывал поисковик

Завершился конкурсный поиск уязвимостей в сервисах Яндекса. Перефразируя слова организатора — либо прорех было найдено больше чем ожидалось (если победители нашли разные уязвимости), либо существовала достаточно очевидная прореха, найденная сразу несколькими конкурсантами:

Перед началом конкурса мы планировали ограничиться одним победителем и одним призом в 5000 долларов. Однако некоторые участники были так близки к победе, что было бы несправедливым их не отметить, поэтому мы решили ввести «серебро» и «бронзу».

Победителем конкурса и обладателем пяти тысяч долларов стал Владимир Воронцов из Москвы. Второе место и три тысячи долларов — у Алексея Синцова [DSecRG] из Санкт-Петербурга. Третье место занял Эльдар Заитов из Санкт-Петербурга. Он получает две тысячи долларов.

Совсем чуть-чуть не дотянули до призовой тройки ещё 5 участников: Positive Research Center, Szymon Gruszecki, Сергей Павлов, Игорь Бабичев и Евгений Форманенко.

По правилам о сути найденных проблем, возможно станет известно через 3 месяца.

Комментарий Roem.ru: в правилах был баг — до отправки сведений в «Яндекс» можно было свободно делиться данными с третьими сторонами. Так что если кто-то догадался это сделать, мы можем узнать о сути найденных проблем раньше.

Комментарий представителя компании

  • Контекст комментария

    Anton Karpov Яндекс

    Какое-то странное перефразирование слов организатора. Мы ввели второе и третье место потому что решили, что это правильно. От количества и качества обнаруженных уязвимостей это никак не зависит. По поводу бага в правилах. Можно, конечно, взять большую лупу и выискивать баги не в сервисах Яндекса, а в правилах конкурса. Однако любой специалист по безопасности знает, что есть общепринятая политика т.н. responsible disclosure, когда исследователь, обнаружив уязвимость, сообщает о ней вендору и держит детали в секрете в течение определенного промежутка времени, пока вендор устраняет уязвимость. Ни у одного человека, который знаком с подобным механизмом раскрытия, не возникнет мысли попытаться обмануть самого себя. Мы верим, что все наши участники (а уж победители — тем более) — грамотные профессионалы. Продолжение банкета обязательно будет.

Добавить 3 комментария

  • Ответить
    Альтер Эго

    отличная акция от Яндекса. даже не ожидал, что они на такое способны. жду продолжения банкета

  • Ответить

    Воронцов, кстати, молодец. Грамотно и хорошо продвигается. Ну, и ищет хорошо :-) Помнится, такой же конкурс у битрикса выигрывал.

  • Ответить
    Anton Karpov Яндекс

    Какое-то странное перефразирование слов организатора. Мы ввели второе и третье место потому что решили, что это правильно. От количества и качества обнаруженных уязвимостей это никак не зависит. По поводу бага в правилах. Можно, конечно, взять большую лупу и выискивать баги не в сервисах Яндекса, а в правилах конкурса. Однако любой специалист по безопасности знает, что есть общепринятая политика т.н. responsible disclosure, когда исследователь, обнаружив уязвимость, сообщает о ней вендору и держит детали в секрете в течение определенного промежутка времени, пока вендор устраняет уязвимость. Ни у одного человека, который знаком с подобным механизмом раскрытия, не возникнет мысли попытаться обмануть самого себя. Мы верим, что все наши участники (а уж победители — тем более) — грамотные профессионалы. Продолжение банкета обязательно будет.