ОдинКлюч

Company: АБП2Б
ОдинКлюч - продукт для безопасного хранения паролей, который обеспечивает защиту важной информации компаний. Программа использует надёжное шифрование данных и многофакторную аутентификацию, предотвращая несанкционированный доступ к хранилищу паролей.
Наш программный продукт — это надёжное решение для безопасного хранения паролей. Бизнес-менеджер паролей обеспечивает централизованное управление всеми паролями вашей компании, гарантируя их сохранность и безопасность.
Program description

Описание программы

Программа действует до 02 декабря 23:59
Обращаем внимание, что общий фонд вознаграждений ограничен.
Рекомендуем сразу заполнить графу "реквизиты" в личном кабинете при направлении отчета, т.к. вознаграждения должны быть выплачены по истечении срока действия программы. В конце срока действия программы выплаты без предоставленных реквизитов могут быть назначены другому исследователю в порядке сдачи отчетов.

Задача

ОдинКлюч корпоративный менеджер хранения паролей. Исследование проводится методом черного ящика.

Скоуп

Параметры для входа:
user1
Glue7-Cardinal-Childhood
Для ОдинКлюч доступна документация https://документация.одинключ.рф
 
Примечание: если вы обнаружили уязвимость, не касающуюся перечисленных выше ресурсов, просим вас также сообщить нам о ней. Наша команда по безопасности изучит ваш отчет и устранит проблему.
 

Требования к участникам

  1. Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
  2. Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.

Исследователям необходимо:

  1. Соблюдать правила, которые устанавливает АБП2Б в своей программе по раскрытию уязвимостей, а также правила платформы The Standoff 365 Bug Bounty.
  2. Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
  3. Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут вопросы об отчете.
  4. Не разглашать информацию об уязвимости. Право на публикацию информации о найденной уязвимости остается за компанией.
 

Обязанности АБП2Б

Мы обязуемся:
  1. Отвечать в течение 15 рабочих дней.
  2. Обрабатывать отчеты в течение 30 рабочих дней после ответа. Сроки обработки отчетов могут увеличиваться, но в таком случае мы проинформируем вас о задержке.
  3. Определить сумму вознаграждения в течение 30 рабочих дней после обработки.
  4. Если вы проводите исследование ОдинКлюч, используйте учетную запись для тестирования user1, пароль для входа - Glue7-Cardinal-Childhood.
  5. Отдавать приоритет задачам безопасности, оперативно подходить к устранению обнаруженных уязвимостей.
  6. Уважать исследователей, не препятствовать раскрытию информации об отчете без четких на то оснований.
  7. Не выдвигать исследователям необоснованные обвинения, связанные с участием в конкурсе.
  8. Указывать имя исследователя, нашедшего уязвимость, в случае публикации информации о ней.
 

Недопустимые действия

Исследователям запрещено

• Использовать обнаруженную уязвимость в личных целях.
• Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
• Проводить физические атаки на персонал, дата-центры и офисы компании.
• Проводить атаки на системы ОдинКлюч с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам.

Вознаграждения за уязвимости

Размер вознаграждения за уязвимости, найденные в используемом компанией ПО сторонних производителей (например, opensource-библиотеках), оценивается по минимальной границе, но может быть увеличен по решению конкурсной комиссии. Все остальные уязвимости, не указанные в списке, могут быть оплачены по решению комиссии в зависимости от их уровня опасности (но вознаграждение не гарантируется).

ОдинКлюч не выплачивает вознаграждение:

  • за отчеты сканеров безопасности и других автоматизированных инструментов;
  • раскрытие несекретной информации (наименования ПО или его версии, технические параметры и метрики системы и пр.);
  • информацию об IP-адресах, DNS-записях и открытых портах;
  • проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
  • уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
  • отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
  • отчеты об отсутствии SSL и других лучших практик (best current practices);
  • уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
  • уязвимости 0-day или 1-day, информация о которых получена командой по безопасности из открытых источников
  • уязвимости к атаке перебором, если в отчете не описан метод, имеющий существенно более высокую эффективность, чем прямой перебор

Требования к оформлению отчета

Отчет об уязвимости должен содержать:
  • Название уязвимости.
  • Название продукта и версию затрагиваемого ПО (компонента).
  • Проверку концепции (proof of concept) или подробное описание обнаруженной уязвимости и шагов по ее воспроизведению.
  • Описание сценария атаки: кто может использовать уязвимость, для какой выгоды, как она эксплуатируется и т. д.
  • Рекомендации по устранению уязвимости.
Видео и скриншоты могут быть приложены к отчету об ошибке, но не могут его заменить.
Если при исследовании сервисов компании вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.
Передача информации об обнаруженной уязвимости происходит согласно правилам платформы.
Launched October 3, 15:28
Edited November 13, 12:49
Program format
Vulnerabilities
Reward for vulnerabilities
by severity level
Critical
₽30K–75K
High
₽10K–30K
Medium
₽3K–10K
Low
₽0–3K
None
₽0–0
Program statistics
₽36,000
Paid in total
₽4,500
Average payment
₽36,000
Paid in the last 90 days
30
Valid reports
39
Submitted reports
Description
Vulnerabilities
Ranking
Versions