⚡ Подведём итоги прошедшего конкурса в Едадиле ⚡

Нам прислали 30+ репортов (благодаря конкурсу в 5 раз больше, чем за аналогичный период до него)! Всего по акции выплачено более 600 000 рублей!

Спасибо, что помогли найти большое количество XSS, а также любопытный PathTraversal при проксировании запросов на фронтенде, через который получилось достать логи некоторых сервисов.

Отдельный респект @slechjke за то, что нашёл способ обойти авторизацию в одном из ключевых компонентов!
Свяжемся с тобой для отправки эксклюзивного мерча Охоты 🎁

Мы готовим кое-что особенное в августе, но что именно, пока секрет 🎁

Среди всех, кто в течение июля принесёт >=1 валидный баг любого нашего сервиса, мы разыграем кое-что интересное. Что именно это будет, узнаете совсем скоро, а пока…

Удачной охоты! ⚡️

Пришло время раскрыть карты

Среди тех, кто зарепортит минимум 1 валидный баг в любом из наших сервисов с 1 июля по 5 августа, мы разыграем приглашения на закрытый ивент «Охоты за ошибками»! 🎁

А ещё подарим 2 проходки на OFFZONE рандомно нашим подписчикам 🔥
Итоги розыгрыша подведём в начале августа в канале Охоты.

Удачной охоты! ⚡

Ну что, время подводить итоги ⚡️

Мы уже разыграли и выслали приглашения на закрытый ивент Охоты нашим охотникам, приславшим отчёты в прошлом и этом месяце.

Также выбрали рандомно двух счастливчиков, которые получат проходки на OFFZONE:

@Thugzzzzz
@maksimsubbotin94

В ближайшее время с вами свяжется наш админ, чтобы вручить промокоды 🎁

Удачной охоты! ✌️

Охотники, привет! ✌️

Если вы в 2024 отправляли нам валидные отчеты и получали награды, ищите наш стенд Yandex for Security на OFFZONE — у нас есть для вас приятные сувениры! 🎁

Количество ограничено, так что не откладывайте :)

⚡️ В офисе Яндекса сегодня гостит SPbCTF! Обсуждаем багбаунти и не только.

Подключайтесь к трансляции!
https://www.youtube.com/live/Zq2K7pvV9Lg?si=kCUCUjarW9n-iMYz

13:40 · Станислав Раковский — Малварь в репозитории пакетов Python PyPI
14:35 · Алексей Воздвиженский — CTF-таски на низкоуровневом эмуляторе сети
15:15 · Перерыв
15:30 · Артём Кулаков — Уязвимости навигации в Android-приложениях
16:25 · Елизавета Тишина — Пентест цветочного горшка
17:05 · Антон Леевик — Постквантовые криптоалгоритмы
18:00 · Перерыв
18:30 · Егор Зайцев — Ревёрсинг в Binary Ninja по сравнению с IDA
19:25 · Александр Миронов — Выбор вендора и первый high-баг на Bug Bounty
20:05 · Егор Зонов — SSRF с точки зрения Bug Bounty

Задавайте вопросы в чате SPbCTF

На связи команда Market Security!

⚡️ У нас выкатились обновления в API для магазинов:
https://yandex.ru/dev/market/partner-api/doc/ru/concepts/api-key

Предлагаем проверить на прочность!

Удачной охоты! 💪

⚡ Мы обновили стиль у Охоты

Кто был на закрытой встрече Охоты, наверное, уже заметил обновлённый дизайн по мерчу. А теперь и лендинг подъехал.

⭐️ Release notes:
— Общий стиль теперь в тёмной теме
— На главной странице появилась красивая анимация
— Мобильная версия стала более читаемой

〰️ Ждём ваши репорты тут

Удачной охоты!

⚡ Важная информация для любителей SSRF!

Мы развернули небольшой сервис, чтобы упростить самостоятельную валидацию, — ssrf-sheriff.

Теперь, чтобы проверить SSRF, вы можете использовать ssrf-sheriff.yandex.net в качестве таргета. А на домене ssrf-sheriff-logs.yandex.net можно будет проверить, произошло ли обращение.

⭐️ Подробнее вы можете почитать здесь.

А ещё советуем посмотреть видео с подробным рассказом про SSRF и данную утилиту с митапа SPbCTF x Яндекс.

Удачной охоты!

📞Мобильные приложения теперь в постоянном скоупе Охоты!

Не так давно мы проводили конкурс по поиску уязвимостей в мобилках и по его итогам решили выделить мобильные приложения в отдельную категорию.

⚡️ На страничке описали сценарии, на которых рекомендуем сделать акценты в исследовании, обновили награды за мобильные уязвимости и добавили другие подробности, которые могут помочь.

Награда традиционно зависит от сложности эксплуатации: за 0-click выплата доходит до 1 млн рублей, а если для эксплуатации требуется установка вредоносного приложения, то сумма будет меньше :)

Надеемся, теперь mobile-хантерам станет удобнее.

Ждём ваших репортов и удачной охоты!

⭐️ Алиса, я иду искать ⭐️

Запускаем конкурс с повышенным вознаграждением до 2,4 млн рублей ⚡️ На этот раз охота объявляется на платформу «Яндекс Диалоги».

〰️ Конкурс продлится с 13 декабря 2024 по 26 января 2025 года
〰️ Аукцион невиданной щедрости 🎁 Мы удваиваем выплаты
〰️ Со скоупом и условиями можно ознакомиться по ссылке

Устроим восстание роботов на Новый год?)

Удачной охоты! ✌

Yandex Bug Bounty: новый сезон охоты за ошибками в Облаке ⚡️

😯 Сервисы Yandex Cloud так сильно выросли, что теперь выделены в отдельную категорию! Мы уточнили скоуп и подробно описали, какие уязвимости вы можете искать.

〰️ В Охоте участвуют все публичные сервисы Yandex Cloud
〰️ Сервисы делятся на 3 группы по критичности
〰️ Критичнее группа == выше награда!

Переходите на сайт программы и изучайте все детали!
Удачной охоты на новогодних каникулах! 🎄

Привет, охотники!

Пост с итогами года соберем уже в январе, но точно можем сказать, что год был классным: благодаря вам сервисы Яндекса стали ещё надежнее ⭐️

🎁 По традиции, в декабре самым активным исследователям мы отправляем не только заслуженные выплаты, но и классные подарки!

В нашем секьюрном черном пакете собраны приятные сюрпризы: мерч Охоты и открытки, заботливо подписанные нашими инженерами 💔

⏩ Хотите узнать, что ещё внутри? Присоединяйтесь к Охоте 🖥

Желаем каждому охотнику найти RCE, но давайте уже после праздников 🙂

🟣До встречи в новом году!