«Яндекс.Еда» в два раза увеличила награду «белым хакерам», которые смогут найти уязвимости в сервисе

Размер выплат — от 15 тысяч до 1,5 миллиона рублей.

В июле и августе «Яндекс.Еда» будет выдавать двойное вознаграждение тем, кто найдёт уязвимости в сервисе. Деньги можно получить за выявление кражи пользовательских данных, мошенничества с промокодами, накрутки баллов «Яндекс Плюса» и фрода, сообщили TJ в компании.

Списки ошибок и уязвимостей и размеры денежных наград за их обнаружение можно посмотреть здесь. Например, за обнаружение RCE-уязвимости (Remote code execution) можно получить от 440 тысяч до 1,5 миллиона рублей. Раскрытие информации с защищёнными личными данными пользователей — от 18 до 520 тысяч рублей.

1 марта «Яндекс.Еда» сообщила об утечке данных пользователей: в базе были номера телефонов, информация о заказах и другие. 22 марта в интернете опубликовали карту с данными клиентов, в том числе ФИО и адресами. Компания считает, что создатели сайта скомпоновали несколько баз разных компаний.

23 марта Роскомнадзор составил административный протокол против «Яндекс.Еды» Пострадавшие подали несколько коллективных исков к сервису из-за утечки своих данных. 24 марта «Яндекс» добился полной блокировки сайта и извинился перед клиентами. В апреле суд оштрафовал компанию на 60 тысяч рублей.

30 мая хакеры опубликовали данные курьеров «Яндекс.Еды». В файле содержалось 700 тысяч строк с ФИО, хешированным паролем, номерами телефона (585298 номеров). В «Яндексе» сообщили, что это часть той же утечки, о которой стало известно 1 марта.

После этого сервис разрешил клиентам удалять информацию о своих заказах. В «Яндексе.Еде» отметили, что усилили защиту: свели к минимуму количество сотрудников, которые имеют доступ к информации о покупателях, и провели полный аудит безопасности.

#новости #яндекс #хакеры #уязвимости