Яндекс | Охота за ошибками (@yandex_bugbounty) — Telegram-канал | Telegram Dialogs
Все каналы
Яндекс | Охота за ошибками

Яндекс | Охота за ошибками

@yandex_bugbounty

2.3K подписчиков экономика

Заметки Василия Кузнецова c полей «Охоты за ошибками» Новости, конкурсы, изменения в правилах и прочие полезности для багхантеров https://yandex.ru/bugbounty/ @yandex_bugbounty_feedback_bot

Последние публикации

Яндекс | Охота за ошибками
01.06.2026 08:37 · 👁 1.3K
В мае топ награды получили 2 отчета с необычными дисклозами и RCE за счет необычной эксплуатации CVE. 😀[RCE] Охотник смог успешно реализовать эксплуатацию CVE в обработчике изображений (уже догадались, что за библиотека?) Стандартные, всем известные PoC тут не подходили, но охотник доработал кастомный эксплойт и забрал заслуженные 1,2 млн ₽. 😀[Information Disclosure] Исследователь продемонстрировал возможность получения доступа к стороннему 3rd-party-сервису, в котором обрабатывались наши данные. Хоть сервис и «чужой», но данные наши... Поэтому решили награждать! 😀[Information Disclosure] Внимательный охотник обратил внимание на избыточное логирование и забрал приз в 500К ₽
Яндекс | Охота за ошибками
22.05.2026 15:45 · 👁 1.5K
💰Хотим разобрать популярный вопрос про сроки выплат "- НУ ЧТО ТАМ С ДЕНЬГАМИ?" Раз в месяц мы складываем все награды, которые накопил каждый исследователь за прошлые 30 дней, и отправляем в банки. Это означает, если у вас было 3 обработанных отчета с назначенными наградами в прошлом месяце, то вы получите одну суммарную выплату сразу за 3 отчета, если только 1 отчет — значит, придет за 1. Обычно, с учетом работы банков, награды приходят 13-15 числа каждого месяца. Изредка выплата может перенестись на следующий месяц. Если вы не получили награду за отчет, где письмо о награде было больше 2 месяцев назад, — напишите нам в саппорт. 😀Несколько дополнений про налоги: • Прямо сейчас получать выплаты как ИП/самозанятым нельзя, но это возможность может появиться в будущем. • Яндекс выступает налоговым агентом и самостоятельно удерживает и перечисляет налог в ФНС с наград Охоты. Именно поэтому мы просим указать СНИЛС, ИНН, ИФНС и прочие страшные аббревиатуры — это требование налоговой. Но это нужно сделать всего лишь один раз 🧡 ➡️ Кстати, у нас появился раздел FAQ, где мы ответили и на другие вопросы, которые вы нам задавали, бежим читать!
Яндекс | Охота за ошибками
08.05.2026 14:50 · 👁 1.8K
Привет, охотники за hardware уязвимостями! 😎 Вышла свежая статья от команды Умных Устройств — в ней рассказываем про нашу модель защиты девайсов и показываем примеры уязвимостей, которые стоит искать на разных уровнях. Собираетесь вкатиться в hardware-security — велком читать целиком статью на Хабре! 😀
Яндекс | Охота за ошибками
06.05.2026 08:03 · 👁 1.8K
Делимся информацией о трех самых дорогих репортах апреля: 😀Один из охотников продемонстрировал успешное применение "состояния гонки" — вышел честный и довольно стабильный тейковер. 😀Побег из сендбокса, который сам по себе не был опасным. Но исследователь обнаружил внутри полезные ключи, которых там быть не должно. Кстати, советуем почитать наш пост — он как раз о таких сценариях. 😀Чтение локальных файлов с сервера. Изучение исходных текстов может дать очень хороший результат!
Яндекс | Охота за ошибками
27.04.2026 14:37 · 👁 2.4K
Что происходит с отчётом после кнопки "Отправить" 🤔 Этап 1: Новый отчёт Сразу после нажатия «Отправить» приходит автоматическое письмо с уникальным ID отчёта. По этому ID вся переписка по отчёту собирается в один тред на почте, а мы быстрее находим его, если вы к нам обращаетесь. Этап 2: Статус «В работе» Инженер начал работу с вашим отчётом. Вам на почту приходит автоматическое письмо. На этом этапе инженер повторяет уязвимость по вашим шагам, проверяет по базе ранее полученных отчётов, при необходимости уточняет детали. Этап 3: Статус «Обработан» Уязвимость воспроизведена, дубликата нет. Вы получаете письмо об изменении статуса. 😀Движение отчёта от статуса «В работе» до «Обработан» в среднем занимает 14 рабочих дней. Этап 4: Оценка Разбираем root-cause, иногда проводим внутреннее исследование, обсуждаем критичность и назначаем награду. Этап 5: Финальная проверка и итоговое письмо Второй инженер верифицирует назначенную сумму. Это нужно для согласованности и свежего взгляда на оценку со стороны. После проверки на почту приходит итоговое письмо: размер награды и идентификатор выплаты. 😀От статуса "Обработан" до письма с суммой вознаграждения проходит до 10 рабочих дней. Весь путь – это несколько этапов, и каждый требует времени. Мы стремимся укладываться в 30 дней до финальной резолюции, но иногда сложные или спорные отчёты требуют большего внимания. Если прошёл месяц, а вестей нет, смело пишите в бота — мы дадим актуальный статус. Спасибо за терпение и крутые находки! Есть что спросить? Велком в форму, ответим в следующих постах
Яндекс | Охота за ошибками
22.04.2026 15:10 · 👁 1.8K
Рубрика #охотникам_на_заметку В нашей практике нередко бывают случаи, когда мы размечаем RCE как «не представляет опасности». Про это и хотим рассказать — когда на первый взгляд опасный баг оказывается вовсе не опасным и как не потратить своё время зря. Сценарии, где это актуально: 1. Режим «Исследовать» у Алисы 2. Виртуальные машины и платформы запуска скриптов в Практикуме / CodeRun / Contest 3. Виртуальные машины для игр По умолчанию всё это отдельные изолированные окружения. Поэтому само по себе RCE там не несёт опасности без связки с другими мисконфигами. 😀На что стоит обратить внимание, если хочется поглубже копнуть и как доказать импакт? 1️⃣Агенты в режиме «Исследовать» Запускаются в serverless-окружении, которое создаётся под одного пользователя и удаляется после формирования ответа. Попробуйте получить данные других пользователей — разумеется, своих тестовых аккаунтов. Например: в отдельном аккаунте запустите аналогичный диалог с Алисой и, получив RCE в обоих диалогах, попробуйте повлиять на окружение второй учётной записи или раскрыть историю вопросов и ответов. 2️⃣Обратиться к ресурсам из внутренней сети Яндекса (SSRF) Контейнеры должны быть сетевым образом изолированы. Если вы считаете иначе — проверьте это через SSRF-Sherif. 3️⃣Выход за пределы контейнера (sandbox escape) Если вы считаете, что можете влиять на контейнеры других пользователей или получить привилегии уровня гипервизора — расскажите нам об этом. Для игровой платформы: попробуйте выйти за пределы игры и получить доступ к «рабочему столу». Если удастся сохранить доступ к выделенной рабочей станции дольше, чем длится игровая сессия, — это вдвойне интересно. 4️⃣Секреты и токены доступа Предполагается, что в «одноразовом» контейнере не должно быть ценных технических секретов. Если вы их обнаружили — постарайтесь определить, к чему они относятся. Особенно интересуют credentials для внутренних и облачных сервисов. Удачи!
Яндекс | Охота за ошибками
21.04.2026 14:36 · 👁 1.4K
🏷 Иногда Telegram работает нестабильно. Если мы не ответили в саппорт боте @yandex_bugbounty_feedback_bot в течение суток, скорее всего, сообщение потерялось - пожалуйста, напишите нам ещё раз
Яндекс | Охота за ошибками
20.04.2026 12:37 · 👁 1.5K
Привет, охотники! По нашей весенней традиции хотим расспросить вас о программе: что вам нравится, а что стоило бы улучшить. Это поможет нам сверить часы и понять, в каком направлении двигаться дальше 😊 P.S. В запасах мерча с прошлых ивентов обнаружилась Яндекс Станция Мини Про. Разыграем ее среди всех, кто пройдет опрос. Ждём ваши ответы вот в этой форме 😀
Яндекс | Охота за ошибками
15.04.2026 15:03 · 👁 2K
Увеличиваем награды за IDOR Иногда за критичные IDOR мы награждали выше стандартного диапазона – если они были особенно хороши 💸 Хотим закрепить это официально: теперь в «Ключевых сервисах» мейн-скоупа верхняя граница за IDOR увеличена до 500,000 ₽. Сюда попадают отчеты, которые относятся к действительно критичным данным — например, IDOR с историей поездок или заказов. P.S. В исключительных случаях мы награждаем ещё больше, например в мартовском дайджесте упоминалось комбо из двух гром-багов с общей наградой в 1.8 млн. 😀Обновленные награды: main-scope
Яндекс | Охота за ошибками
02.04.2026 10:37 · 👁 2.1K
Сводка по лучшим трофеям Охоты за март: 1. Совершенно эпический мисконфиг в ▒▒▒, можно было ❚❚❚❚❚❚❚ ❚❚❚❚ ❚❚❚❚❚❚❚❚❚❚ 2. Remote Code Execution 3. Хитрая клиендсайд бага, которая приводила к полноценному аккаунт-тейковеру. Так что наградили как за аккаунт-тейковер. Кстати, мы начинаем подготовку к будущему приватному челленджу, stay tuned!
Чат поддержки
Ответим здесь же, обычно быстро
Здравствуйте! Напишите ваш вопрос — оператор ответит в этом чате.