Как известно, в июле 2015 года Яндекс отказался от способа подтверждения прав на сайт через txt-файл. В качестве основания принятия такого решения Яндекс привел тот факт, что данный метод практически полностью дублируется возможностями подтверждения через HTML-файл, однако технически его поддержка является более сложной.
О том, что же стало первопричиной и почему Яндекс отказался от подтверждения сайтов txt-файлом подробно рассказал пользователь Хабрахабра, который имеет к произошедшему непосредственное отношение.
Эта история про забавное стечение обстоятельств и один крошечный баг, который до недавнего времени имел место быть в сервисе «Я.Вебмастер». Вебмастер опытным путем обнаружил, что метод подтверждения «txt-файл» для некоторых конфигураций сайтов может позволить подтвердить сайт злоумышленникам. Об этом был отправлен отчет в «Yandex Bug Bounty».
Сотрудники Яндекса среагировали очень быстро. В этот же день вебмастер получил ответ на свое письмо и сообщение о том, что команда Яндекса начала разбираться с присланным репортом. А еще через день, вебмастеру присудили награду в размере 41337 рублей (примерно $700 в тот момент) за найденную уязвимость. Через несколько дней Яндекс отказался от способа подтверждения прав на сайт через txt-файл.
Подробности отчета можно посмотреть здесь