$NATCH Mobile
Company: PHD ContestsМобильное-приложение на базе Android банка – Global DIgital Bank. Данная программа существует в рамках конкурса $NATCH. Отчеты в данной программе принимаются с 10:00 23 мая до 15:00 26 мая.
Rewards are paid to individual entrepreneurs and self-employed persons
This program ended May 30, 2024. Reports are no longer being accepted.
View this company's active programsProgram description
После завершения PhD2 все заработанные в программе баллы обнулятся!
Награждение победителей
Мы с нетерпением ждем возможность поздравить победителей! Оставляйте в своих отчётах или комментариях к нему свой логин, указанный при регистрации в системе Posi Token киберфестиваля Positive Hack Days Fest 2 для начисления награды.
Область действия программы
❗❗❗ Обратите внимание, что уязвимости в мобильном API относятся к скоупу WEB-программы.
Требования к уязвимостям
Важно, чтобы мы могли воспроизвести описанные вами уязвимости, поэтому просим вас внимательно отнестись к оформлению отчета.
Мы ждем отчеты с подробным описанием шагов, которые нужно выполнить для воспроизведения; оценку критичности, оценку влияния уязвимости на безопасность банковских сервисах.
Нас интересуют любые проблемы безопасности, попадающие под правила программы. Если вы сомневаетесь, будет ли актуален ваш отчет, проверьте список исключений. Отметим, что в первую очередь нас интересуют следующие типы уязвимостей:
Мы ждем отчеты с подробным описанием шагов, которые нужно выполнить для воспроизведения; оценку критичности, оценку влияния уязвимости на безопасность банковских сервисах.
Нас интересуют любые проблемы безопасности, попадающие под правила программы. Если вы сомневаетесь, будет ли актуален ваш отчет, проверьте список исключений. Отметим, что в первую очередь нас интересуют следующие типы уязвимостей:
- исполнение кода;
- утечки данных пользователей;
- ошибки бизнес-логики, в том числе ошибки финансовых операций;
Мы ценим внимание к деталям!
Вознаграждение
Все отчеты об уязвимостях рассматриваются индивидуально. Мы оставляем за собой право принимать окончательное решение по серьезности найденной уязвимости и критичности компонента.
| Критичность | Critical | High | Medium | Low |
|---|---|---|---|---|
| Максимальная выплата | до 120 POSI Token | до 90 POSI Token | до 60 POSI Token | до 30 POSI Token |
Обработка и оценка отчетов
У нас может уйти больше времени на анализ отчетов, которые не содержат полную информацию по описанной уязвимости или детали шагов, которые нужно выполнить для ее воспроизведения. Для того, чтобы мы могли эффективно и быстро рассматривать ваши отчеты, просим внимательно отнестись к нашим пожеланиям по описанию уязвимостей. Подчеркнем, что отчеты о проблемах, которые не оказывают влияния на безопасность систем банка, могут быть не рассмотрены, но вы сможете сообщить о них в канале конкурса https://t.me/phdayscontests/10
Исключения
В рамках данной программы мы не можем рассматривать к награждению отчеты о следующих проблемах:
- уязвимости, применимые только на устройствах с root доступом;
- отсутствие реакции на root;
- атаки, для применения которых необходим MITM;
- теоретические атаки и баги, не связанные с безопасностью;
- возможность декомпиляции/реверса приложения, изменения его кода с помощью Frida, Objection и пр.;
- атаки tapjacking;
- наличие скриншотов с чувствительной информацией пользователей;
- отсутствие SSL-pinning;
- отсутствие защитных флагов нативных библиотек;
- раскрытие некритичной информации.