Güvenlik Açıkları Bulma Yarışması
Yandex servislerinde bir güvenlik açığı saptayan her kullanıcı, bulduğu açığı Yandex’e bildirerek Yandex’ten para ödülü kazanabilir.
Problemlerin aranacağı alanlar:
- Kullanıcı adları, giriş şifreleri, özel e-posta yazışmaları, foto ve videolar v.b. gibi kullanıcılara ait kişisel bilgileri doğrudan veya dolaylı olarak işleyen web tabanlı Yandex servisleri ve mobil iOS ve Android uygulamaları;
- Yandex web servislerinin bulunduğu web alan adları: yandex.ru, yandex.com, yandex.com.tr, yandex.kz, yandex.ua, yandex.by, yandex.net, yandex.st ve ya.ru;
- Mobil uygulamalar: Yandex.Haritalar, Yandex.Taxi, Yandex.Mail, Yandex.Metro, Yandex.Foto, Yandex.Trains ve Yandex.Disk.
Aranacak problemler:
Kullanıcıların kişisel bilgilerine izinsiz erişim sağlayabilecek veya sözkonusu bilgilerin bütünlüğünün bozulmasına ve/veya onlara erişim kurallarının izinsiz değişmesine olanak sağlayabilecek teknik sorunlar/programlama açıkları.
Web servislerindeki güvenlik açıklarının sınıflandırılması OWASP Top-10’a göre, mobil uygulamalardaki açıkların sınıflandırılması ise OWASP Mobile Top-10’a göre yapılmalıdır.
Ödüller
Ödül olarak alınabilen para miktarları, güvenlik açığının bulunduğu servisin ne kadar kritik olduğuna bağlıdır. Yandex’in servislerinin tamamı, biri Yandex.Pasaport, Yandex.Mail, Yandex.Haritalar, Yandex ana sayfası ve arama sonuçları sayfası olmak üzere kritik ve diğeri tüm diğer servisler olmak üzere, iki ayrı gruba ayrılır.
Rus Rublesi olarak belirlenen ödül miktarlarının aşağıdaki cetvellerde sıralanan ABD Doları karşılıkları takribi olup, ABD Doları olarak alacağınız miktarlar Rusya Federasyonu Merkez Bankasının ilgili ödeme günü döviz kuruna göre değişebilir.
| OWASP Top-10 | Kritik servisler | Diğer servisler |
|---|---|---|
| A01. Harici programlar ile izinsiz giriş (Injection) | 1000 ABD Doları | 800 ABD Doları |
| A02. Siteler arası komut dosyası çalıştırma (Cross Site Scripting, XSS) – A05. Siteler arası talep sahteciliği (Cross Site Request Forgery, CSRF) | 320 ABD Doları | 160 ABD Doları |
| A06. Güvenlik ayarları hataları (Security Misconfiguration) – A10. İzinsiz yönlendirmeler (Unvalidated Redirects and Forwards) | 160 ABD Doları | 100 ABD Doları |
Not: Özel durumlarda ödül miktarı artırılabilir.
Benzer şekilde mobil uygulamalar da; biri Yandex.Haritalar ve Yandex.Mail olmak üzere kritik ve diğeri tüm diğer uygulamalar olmak üzere iki gruba ayrılır.
| OWASP Mobile Top-10 | Kritik uygulamalar | Diğer uygulamalar |
|---|---|---|
| M01. Güvensiz veri depolama (Insecure Data Storage) – M05. Yanlış yetkilendirme ve doğrulama (Poor Authorization and Authentication) | 320 ABD Doları | 160 ABD Doları |
| M06. Yanlış oturum kullanımı (Improper Session Handling) – M08. Benzer kanaldan veri çalma (Side Channel Data Leakage) | 160 ABD Doları | 100 ABD Doları |
Not: Özel durumlarda ödül miktarı artırılabilir.
Güvenlik açıklarının bildirileceği adresler
Yandex servisleriyle ilgili bulduğunuz güvenlik açıklarını, security-report@yandex-team.ru adresine veya özel ihbar formunu doldurarak Yandex’e bildirebilirsiniz.
Dilerseniz, göndereceğiniz bildiri mesajını PGP anahtarımızın yardımıyla gizleyebilirsiniz.
Kısıtlamalar
Bulunan güvenlik açıklarının gösterimi ve denetlenmesi için kullanıcıların sadece kendi hesaplarını kullanmalarına izin verilir, başka kullanıcılara ait hesaplara girilmesine kesinlikle izin verilmez.
Yandex’teki güvenlik açığının ihbarını takip eden 90 gün içinde sözkonusu güvenlik açığının ayrıntılarına dair her türlü bilginin, herhangi bir platformda yayımlanması dahil olmak üzere üçüncü şahıslarla paylaşılmasına izin verilmez. Ayrıca, anılan bilgilerin benzer şekilde üçüncü şahıslara ulaşmasını engellemek üzere makul her türlü çabanın gösterilmesi beklenecektir. Ayrıntılar için lütfen buraya bakınız.
Yandex’te ve Yandex’in iş ortakları olan şirketlerde çalışanlar ve ayrıca güvenlik açığının bulunduğu kodları yazanlar yarışmaya katılamaz.
Yarışmaya katılan kullanıcılar sadece yeni (daha önce tespit ve ihbar edilmeyen) güvenlik açıklarını ihbar etmekle ödül kazanabilirler.
Yarışmaya katılım şartlarının İngilizce ayrıntıları için lütfen buraya bakınız.
Sıkça Sorulan Sorular
1) Ödüllendirilmeyen sorun türleri nedir?
Jabber, e-posta ve FTP sunucuları gibi Yandex’in ağ altyapısında ve Yandex’le etkileşim içinde bulunan dış site ve servislerde bulunan güvenlik açıkları için ödül verilmez.
Zayıf giriş şifreleri gibi kullanıcı kimlik doğrulama verileri, DoS ve DDoS saldırılarına yol açabilecek her türlü güvenlik açıkları ve kimlik avı (phishing) gibi sosyal mühendislik teknikleriyle ilgili ihbarlar ödüllendirilmemekle birlikte, bu tür bildiriler için kullanıcılarımıza Yandex olarak minnettar olacağımızı bildiririz.
2) Bulunan güvenlik açıkları hakkında Yandex nasıl bilgilendirilir?
Bulduğunuz güvenlik açığının yapısını ayrıntılı olarak açıklayan mesajı özel ihbar formu üzerinden veya security-report@yandex-team.ru adresine e-posta ileterek gönderebilirsiniz. Mesajınızda özellikle:
- içinde güvenlik açığını bulduğunuz servisin ismi;
- sorunlu komut dosyası veya fonksiyonun, veya iletilen parametrenin ismi;
- sözkonusu güvenlik açığının kendini göstermesini sağlamak için gereken adımlar
gibi başlıkların yeterince net bir şekilde aktarılmasına dikkat etmenizi rica ederiz.
Uygun gördüğünüz takdirde mesajınıza ilgili ekran görüntülerini de ekleyebilirsiniz
Kayıtlar
0 yorum