EN

ЮMoney

Company: ЮMoney
ЮMoney- это сервис электронных платежей, который помогает людям отправлять переводы, оплачивать товары и услуги, а компаниям — принимать платежи самыми разными способами: из электронных кошельков, через интернет-банкинг, наличными, по QR-кодам и не только.
Rewards are paid to individual entrepreneurs and self-employed persons
Program description
Область действия bugbounty программы ограничивается техническими уязвимостями в сервисах компании. В случае обнаружения иных проблем, не касающихся безопасности, просьба обратиться в службу поддержки пользователей.
Отчет, отправленный действующим или бывшим сотрудником (до года с момента увольнения) ЮMoney, принимается без оплаты.
Участники обязаны соблюдать конфиденциальность в отношении информации о найденных уязвимостях. Разглашение данной информации допускается только по предварительному согласованию с ЮMoney.
Участие в данной программе подразумевает, что вы прочитали правила участия в программе и согласны с ними. Нарушение правил участия или других условий программы может привести к лишению вознаграждения.

ВРЕМЯ ОТВЕТА

Мы стараемся достичь следующего времени ответа:
  • Время ответа (от момента получения информации) — до 5 рабочих дней;
  • Время на обработку отчета (от момента получения всей информации по отчету) — до 10 рабочих дней;
  • Время на выплату вознаграждения (от момента обработки отчета) — до 20 рабочих дней.
Время ответа может быть увеличено во время национальных праздничных дней и в случае повышенной загрузки команды. Мы будем информировать вас о нашем прогрессе на каждом этапе процесса и предупредим, если возникнут задержки.

СКОУП

Уязвимости можно искать на следующих наших веб ресурсах:
  • *.yoomoney.ru
  • *.yookassa.ru
  • *.yoobusiness.ru
И в следующих мобильных приложениях компании:

ПРИОРИТЕТНЫЕ УЯЗВИМОСТИ

Наиболее приоритетным для нас является поиск критичных уязвимостей на стороне сервера. Однако, мы будем рады рассмотреть отчеты о любых уязвимостях, эксплуатация которых может негативно сказаться на нашей компании и ее работе. Перед составлением отчета мы рекомендуем вам ознакомиться с базовыми списками интересующих нас уязвимостей. Также обратите внимание, что мы выделили перечень уязвимостей, которые мы не вознаграждаем в рамках данной программы.
Ниже представлен список примеров уязвимостей за которые мы готовы выплатить вознаграждение:
  • Удаленное исполнение кода (RCE);
  • Инъекции (например, SQL-инъекции или XML-инъекции);
  • LFR (Local File Read)/LFI (Local File Inclusion)/RFI (Remote File Inclusion);
  • SSRF (Server-Side Request Forgery);
  • Недостатки аутентификации/авторизации;
  • IDOR;
  • Угон аккаунта;
  • Уязвимости бизнес-логики;
  • Уязвимости контроля доступа;
  • Раскрытие чувствительной информации;
  • XSS (Cross-Site Scripting) и CSRF (cross-site request forgery) с воздействием на чувствительные данные.

УЯЗВИМОСТИ, НЕ ПРЕТЕНДУЮЩИЕ НА ВОЗНАГРАЖДЕНИЕ

Мы принимаем только те отчеты, которые содержат информацию о реальных проблемах безопасности. Ниже приведены примеры, которые являются исключениями из нашей программы и за которые не будет выплачено вознаграждение.
Общие исключения:
  • Проблемы и ошибки, не связанные с безопасностью;
  • Сообщения об уязвимостях в сервисах, не относящихся к сервисам ЮMoney;
  • Отчеты, основанные на версии продукта/протокола без демонстрации реального наличия уязвимости;
  • Уязвимости 0-day или 1-day, о которых стало публично известно менее 7 дней назад;
  • Фишинг, социальная инженерия и сценарии, требующие физического доступа к устройству пользователя;
  • Сообщения о мошеннических схемах или о злоупотреблении легитимным функционалом сервиса ЮMoney;
  • Разглашение технической или нечувствительной информации (например, версии продукта или используемого ПО, stacktrace);
  • Необработанные отчеты сканеров уязвимостей и других автоматизированных средств;
  • Информацию об IP-адресах, DNS-записях и открытых портах;
  • Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем;
  • Маловероятные или теоретические атаки без доказательств возможности их осуществления;
  • Атаки, требующие MITM чужого соединения или физической близости с чужим устройством (например, атаки через NFC, Bluetooth, Wi-Fi и shoulder surfing);
  • Сообщения о недостатках использования 4-6 символьных кодов.
Исключения для веб-приложений:
  • Self-XSS, XSS в непопулярных или устаревших браузерах, Flash-based XSS;
  • CSRF и XSS без воздействия на конфиденциальные данные;
  • Open Redirect без дополнительного вектора атаки (например, кражи токена авторизации);
  • Атаки, требующие полного доступа к локальной учетной записи или профилю браузера;
  • Self подмена контента на странице;
  • Tabnabbing;
  • Full Path Disclosure;
  • Сlickjacking;
  • Отсутствие рекомендованных механизмов защиты (например, HTTP заголовков безопасности, флагов безопасности cookie или защиты от CSRF);
  • Неследование лучшим практикам при настройке электронных почтовых ящиков (некорректная, неполная или отсутствующие SPF/DKIM/DMARC-записи или др.);
  • Отчеты, связанные с конфигурацией политик CSP;
  • Небезопасно сконфигурированные TLS или SSL;
  • Возможность неограниченной отправки СМС и email;
  • Rate-limit уязвимости или bruteforce-атаки на ресурсах без аутентификации;
  • Обход средств, противодействующих переборным атакам (например, ротация IP-адресов, распознавание captcha);
  • Атаки типа DOS, связанные с отправкой большого количества запросов или данных (флуд);
  • Разглашение информации о существовании в системе данного имени пользователя, email или номера телефона;
  • Сообщения о публично доступных панелях входа;
  • Раскрытие ограниченных в возможностях API-ключей в JS-коде.
Также на вознаграждение не претендуют следующие уязвимости мобильных приложений:
  • Возможность декомпиляции/реверса мобильного приложения, Frida-инъекции, изменения кода;
  • Обход проверки на root и jailbreak;
  • Tapjacking;
  • Task hijacking;
  • Наличие экспортируемых activity, reciever, service, если это не приводит к неавторизованному доступу к данным приложения или его функциям;
  • Скриншоты с чувствительной информацией из приложения;
  • Отсутствие SSL-пиннинга сертификатов/ключей;
  • Уязвимости, необходимым условием эксплуатации которых является наличие вредоносного ПО, root-прав или jailbreak на устройстве;
  • Раскрытие нечувствительной информации на устройстве;
  • Запрос избыточных разрешений;
  • Отсутствие защитных флагов нативных библиотек;
  • Уязвимости в зависимостях без явного влияния на безопасность целевого приложения;
  • Раскрытие API-ключей, которые не приводят к утечке пользовательских данных или не приводят к финансовому ущербу компании;
  • Использование «слабой» криптографии/мер защиты для обфускации приложения и данных во внутреннем хранилище приложения.

ОФОРМЛЕНИЕ ОТЧЕТОВ

Один отчет должен описывать одну уязвимость. Исключением являются те случаи, когда уязвимости либо связаны между собой, либо их можно скомбинировать в цепочку.
Несоблюдение минимальных требований к отчету может привести к снижению суммы вознаграждения вплоть до отказа в выплате, если в отчете недостаточно предоставленных данных для проведения проверки.
Всю информацию о найденной уязвимости (в т.ч. вложения) необходимо хранить только в отчете. Размещение такой информации на внешних ресурсах запрещено.
Отчет должен включать в себя:
  • Описание уязвимости;
  • Тип обнаруженной уязвимости;
  • URL уязвимого приложения;
  • Шаги воспроизведения (с примерами запросов);
  • Скриншоты или видеозапись, подтверждающие наличие уязвимости и демонстрирующие шаги воспроизведения;
  • Анализ критичности;
  • Рекомендации по устранению.

ПРАВИЛА

ПРАВИЛА ТЕСТИРОВАНИЯ

  • Для проведения тестирования используйте только свои собственные учетные записи либо учетные записи пользователей, который явно выразили свое согласие. Не пытайтесь получить доступ к чужим аккаунтам или любой конфиденциальной информации;
  • Запрещена любая деятельность, которая может нанести ущерб приложениям компании, ее инфраструктуре, клиентам и партнерам;
  • Для подтверждения наличия уязвимости используйте минимально возможный POC (Proof of Concept). В случае, если это может повлиять на других пользователей или же работоспособность системы, свяжитесь с нами для получения разрешения. Дальнейшая эксплуатация уязвимостей строго запрещена;
  • Запрещена социальная инженерия по отношению к сотрудникам Юмани, партнерам, подрядчикам или пользователям;
  • Физические атаки на компанию и ее инфраструктуру запрещены;
  • Эксплуатация уязвимостей после завершения работ по тестированию запрещена;
  • Автоматическое сканирование должно быть ограничено 5 запросами в секунду.

Политика тестирования RCE

Тестирование уязвимостей, которые могут приводить к удаленному исполнению кода, должно выполняться в соответствии с данной политикой.
Во время тестирования запрещены любые действия на сервере кроме:
  • Выполнения команд ifconfig (ipconfig), hostname, whoami;
  • Чтения содержимого файлов "/etc/passwd" и "/proc/sys/kernel/hostname" ("drive:/boot.ini", "drive:/install.ini");
  • Создания пустого файла в каталоге текущего пользователя.
  • При необходимости проведения иных действий необходимо предварительно согласовать их с командой безопасности ЮMoney.

Политика тестирования SQL инъекций

Тестирование уязвимостей, которые могут приводить к внедрению команд SQL, должно выполняться в соответствии с данной политикой.
Во время тестирования запрещены любые действия на сервере кроме:
  • Получения данных о текущей БД (SELECT database()), ее версии (SELECT @@version), текущего пользователя (SELECT user(), SELECT system_user()) или имени хоста (SELECT @@hostname).
  • Получения схемы БД (SELECT table_schema), списка таблиц в ней (SELECT table_name) и имен столбцов в таблицах (SELECT column_name).
  • При необходимости проведения иных действий необходимо предварительно согласовать их с командой безопасности ЮMoney.

Политика загрузки и чтения файлов

Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с данной политикой.
Запрещенные действия при загрузке файлов:
  • Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с учетной записью исследователя, либо с учетной записью пользователя, который явно выразил свое согласие, при условии, что это не нарушит функциональность сервиса или отдельных его частей.
  • Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера и/или большого количества файлов).
  • Загрузка вредоносных файлов (например, малвари или шпионского ПО).
  • При получении возможности чтения произвольных файлов на сервере запрещены любые действия кроме чтения таких файлов, как "/etc/passwd" и "/proc/sys/kernel/hostname" ("drive:/boot.ini", "drive:/install.ini"). При необходимости проведения иных действий необходимо предварительно согласовать их с командой безопасности ЮMoney.

ПРАВИЛА РАСКРЫТИЯ ИНФОРМАЦИИ

  • Запрещено раскрывать информацию об обнаруженных уязвимостях и какую-либо информацию из отчета без письменного разрешения команды безопасности ЮMoney;
  • Отправляйте отчеты только через форму на платформе;
  • Мы оставляем за собой право отклонить любой запрос на публичное раскрытие отчета.

ПРАВИЛА РАБОТЫ С ДУБЛИКАТАМИ

Мы выплачиваем вознаграждение только за первый полученный отчет, содержащий все необходимые данные для воспроизведения уязвимости.
Все последующие отчеты, содержащие информацию об этой же уязвимости считаются дубликатами и вознаграждение за них не выплачивается.
Отчет может дублировать как отчет другого исследователя, так и внутренней команды безопасности.
Также дубликатом может считаться отчет, содержащий информацию о векторах атаки, которые исправляются в результате работ по другому отчету.

ПРАВИЛА ОПРЕДЕЛЕНИЯ КРИТИЧНОСТИ

Мы оставляем за собой право принятия окончательного решения о том, насколько серьезной является найденная уязвимость. Когда мы получаем отчет, мы проводим внутреннее расследование и определяем уровень ее критичности учитывая несколько факторов:
  • Какие привилегии нужны злоумышленнику для атаки;
  • Насколько сложно обнаружить и использовать уязвимость;
  • Нужно ли взаимодействие с пользователем для атаки;
  • Влияние на целостность, доступность и конфиденциальность затронутых данных;
  • Требования к целостности, доступности, конфиденциальности затронутых данных;
  • Влияние на бизнес-риски и репутационные риски;
  • Сколько пользователей подвергнется риску из-за уязвимости.
Мы учитываем все эти и другие факторы, чтобы принять решение и определить приоритеты в оценке уязвимости.
Одним из инструментов, который мы используем для анализа – калькулятор системы оценок CVSS версии 3.1.

ВОЗНАГРАЖДЕНИЕ

Вознаграждение выплачивается участникам только в случае обнаружения ранее неизвестных компании проблем безопасности и при соблюдении всех указанных в программе условий.
Ниже приведена информация с максимальными выплатами по каждому уровню критичности уязвимостей.
Уровень критичностиСумма вознаграждения
Критический150 000 ‑ 400 000 ₽
Высокий35 000 ‑ 150 000 ₽
Средний7 500 ‑ 35 000 ₽
Низкий1 000 ‑7 500 ₽
 
Для мобильных приложений используются три уровня критичности: высокий, средний, низкий.
Размер вознаграждения определяется ЮMoney индивидуально в каждом конкретном случае с учетом изложенных в программе критериев и в указанном диапазоне.
Launched April 9, 17:31
Edited Yesterday, 13:34
Program format
Vulnerabilities
Reward for vulnerabilities
by severity level
Critical
₽150K–400K
High
₽35K–150K
Medium
₽7.5K–35K
Low
₽1K–7.5K
None
₽0–0
Excl. tax
Top hackers
Overall ranking
Score
@AlexShev
Алексей"><u>123
1.5K
@Slift
Сергей
1K
@ubepkr
Дмитрий
50
Program statistics
8
Valid reports
12
Submitted reports
Description
Vulnerabilities
Ranking
Versions