Я
Яндекс | Охота за ошибками
01.06.2026 08:37 · 👁 1.3K
В мае топ награды получили 2 отчета с необычными дисклозами и RCE за счет необычной эксплуатации CVE.
😀[RCE] Охотник смог успешно реализовать эксплуатацию CVE в обработчике изображений (уже догадались, что за библиотека?)
Стандартные, всем известные PoC тут не подходили, но охотник доработал кастомный эксплойт и забрал заслуженные 1,2 млн ₽.
😀[Information Disclosure] Исследователь продемонстрировал возможность получения доступа к стороннему 3rd-party-сервису, в котором обрабатывались наши данные. Хоть сервис и «чужой», но данные наши... Поэтому решили награждать!
😀[Information Disclosure] Внимательный охотник обратил внимание на избыточное логирование и забрал приз в 500К ₽
Я
Яндекс | Охота за ошибками
22.05.2026 15:45 · 👁 1.5K
💰Хотим разобрать популярный вопрос про сроки выплат
"- НУ ЧТО ТАМ С ДЕНЬГАМИ?"
Раз в месяц мы складываем все награды, которые накопил каждый исследователь за прошлые 30 дней, и отправляем в банки.
Это означает, если у вас было 3 обработанных отчета с назначенными наградами в прошлом месяце, то вы получите одну суммарную выплату сразу за 3 отчета, если только 1 отчет — значит, придет за 1.
Обычно, с учетом работы банков, награды приходят 13-15 числа каждого месяца.
Изредка выплата может перенестись на следующий месяц. Если вы не получили награду за отчет, где письмо о награде было больше 2 месяцев назад, — напишите нам в саппорт.
😀Несколько дополнений про налоги:
• Прямо сейчас получать выплаты как ИП/самозанятым нельзя, но это возможность может появиться в будущем.
• Яндекс выступает налоговым агентом и самостоятельно удерживает и перечисляет налог в ФНС с наград Охоты. Именно поэтому мы просим указать СНИЛС, ИНН, ИФНС и прочие страшные аббревиатуры — это требование налоговой. Но это нужно сделать всего лишь один раз 🧡
➡️ Кстати, у нас появился раздел FAQ, где мы ответили и на другие вопросы, которые вы нам задавали, бежим читать!
Я
Яндекс | Охота за ошибками
08.05.2026 14:50 · 👁 1.8K
Привет, охотники за hardware уязвимостями! 😎
Вышла свежая статья от команды Умных Устройств — в ней рассказываем про нашу модель защиты девайсов и показываем примеры уязвимостей, которые стоит искать на разных уровнях.
Собираетесь вкатиться в hardware-security — велком читать целиком статью на Хабре! 😀
Я
Яндекс | Охота за ошибками
06.05.2026 08:03 · 👁 1.8K
Делимся информацией о трех самых дорогих репортах апреля:
😀Один из охотников продемонстрировал успешное применение "состояния гонки" — вышел честный и довольно стабильный тейковер.
😀Побег из сендбокса, который сам по себе не был опасным. Но исследователь обнаружил внутри полезные ключи, которых там быть не должно.
Кстати, советуем почитать наш пост — он как раз о таких сценариях.
😀Чтение локальных файлов с сервера.
Изучение исходных текстов может дать очень хороший результат!
Я
Яндекс | Охота за ошибками
27.04.2026 14:37 · 👁 2.4K
Что происходит с отчётом после кнопки "Отправить" 🤔
Этап 1: Новый отчёт
Сразу после нажатия «Отправить» приходит автоматическое письмо с уникальным ID отчёта. По этому ID вся переписка по отчёту собирается в один тред на почте, а мы быстрее находим его, если вы к нам обращаетесь.
Этап 2: Статус «В работе»
Инженер начал работу с вашим отчётом. Вам на почту приходит автоматическое письмо.
На этом этапе инженер повторяет уязвимость по вашим шагам, проверяет по базе ранее полученных отчётов, при необходимости уточняет детали.
Этап 3: Статус «Обработан»
Уязвимость воспроизведена, дубликата нет. Вы получаете письмо об изменении статуса.
😀Движение отчёта от статуса «В работе» до «Обработан» в среднем занимает 14 рабочих дней.
Этап 4: Оценка
Разбираем root-cause, иногда проводим внутреннее исследование, обсуждаем критичность и назначаем награду.
Этап 5: Финальная проверка и итоговое письмо
Второй инженер верифицирует назначенную сумму. Это нужно для согласованности и свежего взгляда на оценку со стороны. После проверки на почту приходит итоговое письмо: размер награды и идентификатор выплаты.
😀От статуса "Обработан" до письма с суммой вознаграждения проходит до 10 рабочих дней.
Весь путь – это несколько этапов, и каждый требует времени. Мы стремимся укладываться в 30 дней до финальной резолюции, но иногда сложные или спорные отчёты требуют большего внимания. Если прошёл месяц, а вестей нет, смело пишите в бота — мы дадим актуальный статус. Спасибо за терпение и крутые находки!
Есть что спросить? Велком в форму, ответим в следующих постах
Я
Яндекс | Охота за ошибками
22.04.2026 15:10 · 👁 1.8K
Рубрика #охотникам_на_заметку
В нашей практике нередко бывают случаи, когда мы размечаем RCE как «не представляет опасности».
Про это и хотим рассказать — когда на первый взгляд опасный баг оказывается вовсе не опасным и как не потратить своё время зря.
Сценарии, где это актуально:
1. Режим «Исследовать» у Алисы
2. Виртуальные машины и платформы запуска скриптов в Практикуме / CodeRun / Contest
3. Виртуальные машины для игр
По умолчанию всё это отдельные изолированные окружения. Поэтому само по себе RCE там не несёт опасности без связки с другими мисконфигами.
😀На что стоит обратить внимание, если хочется поглубже копнуть и как доказать импакт?
1️⃣Агенты в режиме «Исследовать»
Запускаются в serverless-окружении, которое создаётся под одного пользователя и удаляется после формирования ответа. Попробуйте получить данные других пользователей — разумеется, своих тестовых аккаунтов.
Например: в отдельном аккаунте запустите аналогичный диалог с Алисой и, получив RCE в обоих диалогах, попробуйте повлиять на окружение второй учётной записи или раскрыть историю вопросов и ответов.
2️⃣Обратиться к ресурсам из внутренней сети Яндекса (SSRF)
Контейнеры должны быть сетевым образом изолированы. Если вы считаете иначе — проверьте это через SSRF-Sherif.
3️⃣Выход за пределы контейнера (sandbox escape)
Если вы считаете, что можете влиять на контейнеры других пользователей или получить привилегии уровня гипервизора — расскажите нам об этом.
Для игровой платформы: попробуйте выйти за пределы игры и получить доступ к «рабочему столу». Если удастся сохранить доступ к выделенной рабочей станции дольше, чем длится игровая сессия, — это вдвойне интересно.
4️⃣Секреты и токены доступа
Предполагается, что в «одноразовом» контейнере не должно быть ценных технических секретов. Если вы их обнаружили — постарайтесь определить, к чему они относятся. Особенно интересуют credentials для внутренних и облачных сервисов.
Удачи!
Я
Яндекс | Охота за ошибками
21.04.2026 14:36 · 👁 1.4K
🏷 Иногда Telegram работает нестабильно.
Если мы не ответили в саппорт боте @yandex_bugbounty_feedback_bot в течение суток, скорее всего, сообщение потерялось - пожалуйста, напишите нам ещё раз
Я
Яндекс | Охота за ошибками
20.04.2026 12:37 · 👁 1.5K
Привет, охотники!
По нашей весенней традиции хотим расспросить вас о программе: что вам нравится, а что стоило бы улучшить.
Это поможет нам сверить часы и понять, в каком направлении двигаться дальше 😊
P.S. В запасах мерча с прошлых ивентов обнаружилась Яндекс Станция Мини Про. Разыграем ее среди всех, кто пройдет опрос.
Ждём ваши ответы вот в этой форме 😀
Я
Яндекс | Охота за ошибками
15.04.2026 15:03 · 👁 2K
Увеличиваем награды за IDOR
Иногда за критичные IDOR мы награждали выше стандартного диапазона – если они были особенно хороши 💸
Хотим закрепить это официально: теперь в «Ключевых сервисах» мейн-скоупа верхняя граница за IDOR увеличена до 500,000 ₽.
Сюда попадают отчеты, которые относятся к действительно критичным данным — например, IDOR с историей поездок или заказов.
P.S. В исключительных случаях мы награждаем ещё больше, например в мартовском дайджесте упоминалось комбо из двух гром-багов с общей наградой в 1.8 млн.
😀Обновленные награды: main-scope
Я
Яндекс | Охота за ошибками
02.04.2026 10:37 · 👁 2.1K
Сводка по лучшим трофеям Охоты за март:
1. Совершенно эпический мисконфиг в ▒▒▒, можно было ❚❚❚❚❚❚❚ ❚❚❚❚ ❚❚❚❚❚❚❚❚❚❚
2. Remote Code Execution
3. Хитрая клиендсайд бага, которая приводила к полноценному аккаунт-тейковеру. Так что наградили как за аккаунт-тейковер.
Кстати, мы начинаем подготовку к будущему приватному челленджу, stay tuned!