Завершился конкурсный поиск уязвимостей в сервисах Яндекса. Перефразируя слова организатора - либо прорех было найдено больше чем ожидалось (если победители нашли разные уязвимости), либо существовала достаточно очевидная прореха, найденная сразу несколькими конкурсантами:
Перед началом конкурса мы планировали ограничиться одним победителем и одним призом в 5000 долларов. Однако некоторые участники были так близки к победе, что было бы несправедливым их не отметить, поэтому мы решили ввести «серебро» и «бронзу».
Победителем конкурса и обладателем пяти тысяч долларов стал Владимир Воронцов из Москвы. Второе место и три тысячи долларов – у Алексея Синцова [DSecRG] из Санкт-Петербурга. Третье место занял Эльдар Заитов из Санкт-Петербурга. Он получает две тысячи долларов.
Совсем чуть-чуть не дотянули до призовой тройки ещё 5 участников: Positive Research Center, Szymon Gruszecki, Сергей Павлов, Игорь Бабичев и Евгений Форманенко.
По правилам о сути найденных проблем, возможно станет известно через 3 месяца.
Комментарий Roem.ru: в правилах был баг - до отправки сведений в "Яндекс" можно было свободно делиться данными с третьими сторонами. Так что если кто-то догадался это сделать, мы можем узнать о сути найденных проблем раньше.
Какое-то странное перефразирование слов организатора. Мы ввели второе и третье место потому что решили, что это правильно. От количества и качества обнаруженных уязвимостей это никак не зависит. По поводу бага в правилах. Можно, конечно, взять большую лупу и выискивать баги не в сервисах Яндекса, а в правилах конкурса. Однако любой специалист по безопасности знает, что есть общепринятая политика т.н. responsible disclosure, когда исследователь, обнаружив уязвимость, сообщает о ней вендору и держит детали в секрете в течение определенного промежутка времени, пока вендор устраняет уязвимость. Ни у одного человека, который знаком с подобным механизмом раскрытия, не возникнет мысли попытаться обмануть самого себя. Мы верим, что все наши участники (а уж победители — тем более) — грамотные профессионалы. Продолжение банкета обязательно будет.