Приз в размере $5000 получит тот, кто найдет наиболее страшную уязвимость на сервисах поисковика, которые каким-либо образом используют конфиденциальную информацию пользователей (аутентификационные данные, переписка, личные фото- и видеоальбомы), а социальной сети «Мой Круг». Искать можно любые уязвимости,которые могут привести к нарушению конфиденциальности, целостности или доступности данных пользователей. Например те, которые могут быть подвержены атакам: межсайтовый скриптинг (XSS), межсайтовая подделка запросов (CSRF), небезопасное управление сессией, различного рода инъекции и ошибки в механизмах аутентификации и авторизации. Однако есть и ограничение: Яндекс не будет принимать сообщения об уязвимостях, обнаруженных в ее инфраструктуре, включая почтовые серверы и FTP-серверы, сервис «Яндекс.Деньги», сторонние сервисы, взаимодействующие с «Яндексом» и пользовательские аутентификационные данные . Кроме того, в конкурсе не участвуют сообщения об уязвимостях, приводящих к возможности совершения DoS- или DDoS-атак, и об использовании техник социальной инженерии, например фишинга.