Tochka Bank is an online bank and an ecosystem of services designed to help businesses grow. Today, over 800,000 entrepreneurs across the country work with Tochka Bank.
Banking services are fully online, with 24/7 support available via chat and phone. Beyond standard banking services, the Tochka team develops tools that free entrepreneurs from routine tasks and help their businesses expand.
Enjoy free account deposits and zero-fee transfers to sole proprietors, individuals, and LLCs. From accounting and marketplace entry support to advertising and networking services—we provide everything your business needs to thrive.
Rewards are paid to individual entrepreneurs and self-employed persons
Program description

Приветствуем на программе поиска уязвимостей Точка Банк Bug Bounty!

Мы создаем удобную и безопасную экосистему для бизнеса и приглашаем вас принять участие в программе Точка Bug Bounty, направленную на улучшение безопасности наших клиентов и продуктов.
Если у вас есть информация, связанная с уязвимостями, сообщите ее нам в соответствии с нижеперечисленными правилами.

Область действия программы

tochka.com - основной сайт Точка Банка.
allo.tochka.com - сайт Справочной.
shop.tochka.com - Универмаг Точка Банка.
*.tochka-tech.com - технические сервисы Точка Банка.
Все остальные ресурсы, в том числе домены третьего и выше уровней (*.tochka.com) находятся вне области действия программы. Отчеты по ним принимаются как информативные, а выплата вознаграждения остается на наше усмотрение.

Размер вознаграждения

Мы выплачиваем вознаграждения исследователям только за обнаружение ранее неизвестных проблем при выполнении всех правил программы. Все отчеты об уязвимостях рассматриваются индивидуально в зависимости от критичности обнаруженной уязвимости.
Уровень критичностиРазмер вознаграждения
Критическийот 135 до 450 т.р.
Высокийот 45 до 135 т.р.
Среднийот 12,5 до 45 т.р.
Низкийот 1 до 12,5 т.р.
Информационный0
 
Вознаграждение выплачивается, если команда Точка Банка сделает вывод, что все условия правил выполнены и выявленная уязвимость является значимой. Мы оставляем за собой право принимать окончательное решение по серьезности найденной уязвимости. Размер вознаграждения по итогам рассмотрения отчета является окончательным и не подлежит обсуждению.

Какие уязвимости искать

Мы заинтересованы в критичных уязвимостях, которые потенциально могут принести ущерб или вред нашим клиентам, сервисам или продуктам. Если вы сомневаетесь, стоит ли связываться с нами по поводу обнаруженной проблемы, посмотрите, нет ли ее в списке "Не принимаем и не рассматриваем". В случае, если она там отсутствует, смело отправляйте отчет с детальным описанием проблемы. Информацию о том, как лучше сообщить об уязвимости, можно найти в разделе "Рекомендации по содержанию отчетов".

Общие правила

  • участвуя в нашей программе, вы подтверждаете, что прочитали и согласились с настоящими "Правилами". Нарушение правил может привести к лишению права на вознаграждение;
  • область действия программы ограничивается техническими уязвимостями в сервисах компании;
  • если при исследовании сервисов Точки Вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно;
  • при возникновении отчетов об одинаковых уязвимостях вознаграждение получает только первый полученный отчёт (при условии, что он может быть полностью воспроизведен);
  • за обнаружение нескольких уязвимостей с общей причиной возникновения вознаграждение выплачивается как за одну уязвимость;
  • применимость вознаграждения и его размер могут зависеть от серьезности проблемы, новизны, вероятности использования, окружения и/или других факторов;
  • типы уязвимостей, подлежащие вознаграждению, указаны в таблице "Размер вознаграждения";
  • суммы вознаграждения указаны в описании Программы только для справки;
  • отчет, отправленный действующим или бывшим сотрудником (до года с момента увольнения) группы компаний Точка, принимается без оплаты;
  • Точка обязуется не выдвигать исследователям необоснованные обвинения, связанные с участием в Программе.

Правила тестирования

  • обязательно добавляйте к запросам HTTP-заголовок X-Bug-Bounty: <ваш никнейм на площадке>;
  • старайтесь избегать нарушений конфиденциальности, уничтожения данных, а также прерывания или ухудшения качества наших услуг;
  • инструменты автоматического сканирования должны быть ограничены 10 запросами в секунду к целевому узлу, суммируя все инструменты и потоки, работающие параллельно;
  • никакие учетные записи для проведения тестирования не предоставляются;
  • при тестировании уязвимостей используйте минимально возможный POC (Proof of Concept). В случае, если это может повлиять на пользователей или работоспособность системы, свяжитесь с нами для получения решения по дальнейшим действиям. Дальнейшая эксплуатация уязвимостей запрещена.

Не принимаем и не рассматриваем

  • отчеты, в которых отсутствует демонстрация влияния на безопасность (security impact) или реалистичный сценарий эксплуатации, могут быть отклонены либо приняты как информативные;
  • отчеты об отсутствии Rate Limit без влияния на безопасность пользователя или системы (такие отчеты принимаются как информативные), например: email- и SMS-рассылки, генерация лидов и т.д.;
  • отчеты об открытых перенаправлениях (Open Redirect), не сопровождающиеся демонстрацией существенного влияния на безопасность ресурса или пользователей (например, в составе цепочки атаки). Такие отчеты могут быть приняты как информативные;
  • отчеты, основанные исключительно на результатах сканеров безопасности и других автоматизированных инструментов;
  • информацию об IP-адресах, DNS-записях и открытых портах;
  • отчеты, основанные исключительно на версии используемого программного обеспечения, без подтверждения возможности эксплуатации;
  • уязвимости, эксплуатация которых предотвращается средствами защиты информации (например, WAF), без демонстрации возможности обхода таких средств;
  • отчеты о небезопасной конфигурации SSL/TLS (шифры, версии протоколов и т.п.) без демонстрации возможности эксплуатации;
  • Self-XSS и другие уязвимости, напрямую не влияющие на пользователей или данные приложения;
  • уязвимости, воспроизводимые только в неподдерживаемых браузерах либо в версиях браузеров старше 6 месяцев на момент отправки отчета;
  • ошибки конфигурации CORS без демонстрации возможности получения несанкционированного доступа к данным или выполнения действий от имени пользователя;
  • разглашение информации о существовании в системе данного имени пользователя, email или номера телефон;
  • раскрытие конфиденциальной информации пользователей через внешние ресурсы, не контролируемые Точкой (например данные со шпионского ПО, либо данные, размещенные непосредственно пользователями);
  • атаки типа DoS/DDoS, а также сообщения о потенциальной возможности отказа в обслуживании без безопасной демонстрации;
  • сообщения об отсутствии заголовков безопасности без подтвержденного влияния;
  • Tabnabbing;
  • Clickjacking без возможности совершения чувствительных действий пользователем;
  • Logout CSRF как отдельная проблема безопасности;
  • Host Header Injection без демонстрации эксплуатации;
  • отчеты, связанные с отсутствием CSP либо небезопасной конфигурацией CSP (например, использованием unsafe-inline или unsafe-eval), без демонстрации реального влияния на безопасность;
  • атаки, требующие полного доступа к локальной учетной записи или профилю браузера;
  • уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем;
  • отсутствие лучших практик в конфигурации DNS и почтовых сервисов (DKIM/DMARC/SPF/TXT);
  • неработающие ссылки на страницы социальных сетей или невостребованные ссылки в социальных сетях и подобные страницы;
  • возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности;
  • возможность создавать учетные записи пользователей без каких-либо ограничений;
  • перечисление пользователей;
  • разглашение публичной информации о пользователях;
  • отсутствие уведомлений о важных действиях пользователя;
  • отчеты, связанные с безопасностью мобильных приложений Банка Точка;
  • проблемы, никак не связанные с безопасностью (если вы обнаружите проблемы, не связанные с безопасностью, направляйте их на общий адрес: bank@tochka.com);
  • сообщения о мошеннических схемах, злоупотреблении легитимным функционалом;
  • отсутствие механизмов защиты или отклонение от лучших практик безопасности без демонстрации реального влияния на безопасность пользователя или системы (такие отчеты могут быть приняты как информативные). Например: отсутствие HTTP-заголовков безопасности (CSP, HSTS и др.), флагов безопасности cookie (HttpOnly, Secure и др.), защиты от CSRF, использование SSL/TLS без подтвержденной возможности эксплуатации и т.п.

Публичное раскрытие информации об уязвимости

Публичное раскрытие информации не предусмотрено. Запрещено публично или в частном порядке раскрывать суть выявленных уязвимостей, способ их эксплуатации или делиться какими-либо подробностями. Мы оставляем за собой право отклонить любой ваш запрос на публичное раскрытие отчета без разъяснения причин.

Недопустимые действия

Исследователям запрещено:
  • получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным;
  • воздействовать на учетные записи других пользователей без их разрешения;
  • использовать обнаруженную уязвимость в личных целях;
  • использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов;
  • проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде Точки, которая проведет атаку в тестовой среде;
  • проводить физические атаки на персонал, дата-центры и офисы компании;
  • проводить атаки на системы Точки с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам;
  • исследовать серверную инфраструктуру, где размещены веб-приложения;
  • разглашать сведения об обнаруженной уязвимости.

Политика тестирования RCE

Тестирование уязвимостей, которые могут приводить к удаленному исполнению кода, должно выполняться в соответствии с изложенными ниже правилами.
Во время тестирования запрещены любые действия на сервере кроме:
  • выполнения команд ifconfig (ipconfig), hostname, whoami, id;
  • чтения содержимого файлов /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini);
  • использование команды echo для передачи символов в файл, расположенный в «/tmp/», либо в каталоге текущего пользователя, чтение файла и последующее его удаление сразу после подтверждения уязвимости.
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.

Политика тестирования SQL-инъекций

Тестирование уязвимостей, которые могут приводить к внедрению команд SQL, должно выполняться в соответствии с изложенными ниже правилами.
Во время тестирования запрещены любые действия на сервере кроме:
  • Получения данных о текущей БД (SELECT database()), ее версии (SELECT @@version), текущего пользователя (SELECT user(), SELECT system_user()) или имени хоста (SELECT @@hostname)
  • Получения схемы БД (SELECT table_schema), списка таблиц в ней (SELECT table_name) и имен столбцов в таблицах (SELECT column_name)
  • Выполнения математических, конверсионных или логических запросов (включая использование SLEEP) без извлечения данных (кроме тех, что перечислены выше)
При необходимости проведения иных действий необходимо предварительно согласовать их с нашей командой.

Политика загрузки и чтения файлов

Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с изложенными ниже правилами.
Запрещенные действия при загрузке файлов:
  • Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие;
  • Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера);
  • Загрузка вредоносных файлов (например, малвари или шпионского ПО).
При получении возможности чтения произвольных файлов на сервере запрещены любые действия кроме чтения таких файлов, как /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini). При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами.

Рекомендации по содержанию отчетов

Отчет должен быть полноценным, понятным и содержать детальное описание вектора атаки и доказательств потенциального нанесения ущерба или вреда. Один отчет должен содержать описание одной уязвимости. Исключением могут быть случаи, когда уязвимости связаны между собой или их можно скомбинировать в цепочку.
При составлении отчета старайтесь включить в него:
  • описание уязвимости;
  • шаги воспроизведения;
  • оценку критичности;
  • рекомендации по устранению.
Также отчет должен содержать:
  • URL уязвимого приложения;
  • тип обнаруженной уязвимости;
  • скриншоты (или видео), подтверждающие наличие уязвимости и демонстрирующие шаги воспроизведения;
  • пример форматированного запроса из BurpSuite (или любой другой POC).
Если в отчете недостаточно данных, чтобы воспроизвести проверку наличия уязвимости, выплата вознаграждения не может быть осуществлена. Не размещайте отчет или части его содержимого на внешних ресурсах.

Определение критичности уязвимости

Окончательное решение в отношении критичности обнаруженной уязвимости мы принимаем после проведения внутреннего исследования и учитываем множество факторов, в том числе:
  • трудность обнаружения и эксплуатации;
  • уровень привилегий, необходимый для реализации атаки;
  • наличие требования взаимодействия с пользователем;
  • влияние на целостность, доступность и конфиденциальность затронутых данных;
  • количество затронутых пользователей.

Дубликаты отчетов

Мы выплачиваем вознаграждение только за первый полученный отчет (при условии, что он содержит всю необходимую информацию для воспроизведения уязвимости). Любые последующие отчеты, затрагивающие ту же уязвимость, будут помечены как дублирующие. Отчеты, содержащие схожие векторы атак также могут считаться дублирующими, в случае если команда Точки считает, что информации из одного отчета достаточно для исправления всех зарегистрированных векторов атак или ошибок. Отчет может быть дубликатом отчета другого исследователя.
Launched October 2, 2024
Edited July 13, 13:27
Program format
Vulnerabilities
Reward for vulnerabilities
up to ₽450K
Top hackers
Overall ranking
The ranking is still empty