Mail.ru Group будет выплачивать хакерам награды за обнаружение уязвимости в своих сервисах, сообщила компания в своем блоге на Habrahabr.

Проект организован совместно с некоммерческой организацией HackerOne, которая занимается вопросами кибербезопасности. Первым этапом программы станет конкурс на выявление уязвимостей.

Mail.ru будет принимать заявки от участников конкурса с 21 апреля по 20 мая 2014 года. Аналитики рассмотрят заявки и оценят возможный ущерб, который может принести уязвимость. Исходя из этого будет определена сумма вознаграждения. Награда достанется тому, кто первым сообщит о данной уязвимости.

За обнаружение самой значительной уязвимости компания заплатит пять тысяч долларов. Обладателю второго места достанется три тысячи, а третьего — полторы. Всем нашедшим хотя бы минимальную уязвимость компания выплатит вознаграждение размером от 150 долларов. Чем значительнее будет найденная проблема, тем больше награда. Результаты конкурса будут объявлены 21 мая.

В качестве приоритетных проектов для поиска уязвимостей Mail.ru называет веб-сервисы и мобильные приложения «Почта Mail.ru», «Облако Mail.ru», «Календарь Mail.ru», «Mail.ru для бизнеса» и «Авторизационный центр Mail.ru». Но если участник нашел серьезную проблему в других проектах Mail.ru, они тоже могут прислать ее на конкурс. В этом случае награда будет присуждаться в индивидуальном порядке.

Компания предупреждает, что вознаграждение не выплачивается за информацию, полученную с помощью физического взлома дата-центов или офисов Mail.ru Group, взлома инфраструктуры компании и социальной инженерии. К тому же компания призывает участников не пытаться получить доступ к чужим аккаунтам и конфиденциальной информации при проведении исследования.

Для участия в конкурсе необходимо зарегистрироваться в сообществе HackerOne.com, где можно проконсультироваться с аналитиками информационной безопасности Mail.ru Group, отправить заявку на конкурс и проверить ее статус. В описании уязвимости должно содержаться подробное описание шагов, которые приводят к столкновению с ней. Также участник должен предоставить рабочее подтверждение своей концепции и объяснить, как именно он нашел данную проблему. Участие в конкурсе может быть анонимным.

HackerOne регулярно проводит проекты по поиску багов совместно с различными интернет-сервисами. Среди ее партнеров есть такие компании, Microsoft, Facebook, Yahoo, образовательный портал Khan Academy. В начале апреля через платформу Hackerone была выплачена награда хакерам, обнаружившим уязвимость Heartbleed.