Участникам конкурса предлагается отыскать на сайтах 'Яндекса' ошибки, наличие которых может поставить под угрозу личные данные пользователей - например, логины и пароли, переписку или личные фотографии и видеозаписи. Это могут быть ошибки в механизме авторизации, XSS-уязвимости и прочие 'дыры' в безопасности.

Сервисы, в которых предлагается искать ошибки, должны быть расположены в доменах yandex.ru, yandex.com, yandex.com.tr, yandex.kz, yandex.by, yandex.net, yandex.st или moikrug.ru. На конкурс не принимаются сообщения об уязвимостях в сетевой инфраструктуре 'Яндекса', а также об ошибках в сервисе 'Яндекс.Деньги'.

Отчеты об ошибках участникам конкурса предлагается отправлять на адрес security-report@yandex-team.ru. Если участник претендует на награду, он должен сохранять в тайне информацию о найденной уязвимости в течение 90 дней с момент отправки письма.

Итоги конкурса будут подведены 25 ноября 2011 года на конференции ZeroNights. Победителем станет участник, первым сообщивший о 'самой критической' уязвимости. Он получит от 'Яндекса' вознаграждение в размере пяти тысяч долларов.

Практику выплаты вознаграждения за найденные в своих продуктах уязвимости ввели у себя многие IT-компании, в том числе Google и Mozilla Foundation - они премируют пользователей за сообщения об ошибках в браузере Chrome и Firefox.