Поиск недостатков безопасности проходил в конце 2012 г. в рамках второго этапа программы Yandex Bug Bounty, проводимой поисковой системой на постоянной основе. Объектами для поиска уязвимостей стали большинство ресурсов «Яндекса», а также мобильные приложения «Яндекс.Карты», «Яндекс.Навигатор», «Яндекс.Музыка», «Яндекс.Почта» и «Яндекс.Маркет», рассказали CNews в компании.
Как выяснили специалисты группы анализа защищенности веб-приложений Positive Technologies, проблемы с безопасностью есть на «Яндекс.Паспорте», «Яндекс.Почте», «Яндекс.Картах», серверах wiki.yandex.ru, school.yandex.ru и других ресурсах интернет-портала. Всего специалистами Positive Technologies было обнаружено несколько десятков уязвимостей различного уровня опасности, включая Memory Disclosure, XSS, Open Redirect, Response Splitting и CSRF.
Самой серьезной, по словам специалистов Positive Technologies, стала ошибка безопасности на сервисе «Яндекс.Вебмастер», который оказался уязвимым для внедрения внешних сущностей XML (XML External Entity) через XSD-схемы. Эксплуатация данной уязвимости могла открыть доступ к соседним хостам во внутренней сети «Яндекса» и представлять потенциальную опасность для пользовательских данных. На данный момент недостатки защищенности в популярных сервисах «Яндекса» оперативно устранены компанией.
Отметим, что Positive Technologies не в первый раз сотрудничает с российскими и зарубежными компаниями, владеющими поисковыми сервисами. Так, в ноябре 2012 г. Артем Чайкин обнаружил две критические уязвимости браузера Chrome для платформы Google Android, которые могли поставить под угрозу безопасность большинства новейших смартфонов и планшетов. Весной 2012 г. эксперт Positive Technologies Дмитрий Серебрянников обнаружил критическую уязвимость на сайте Google.