EN

Азбука вкуса

Company: Азбука вкуса
«Азбука вкуса» уделяет особое внимание безопасности, целостности и доступности своих данных и систем, а также своих клиентов, сотрудников и партнеров. Мы ценим работу исследователей в области безопасности, направленную на повышение безопасности наших продуктов и услуг и призываем сообщество принять участие в нашей программе по вознаграждению за найденные уязвимости.
Rewards are paid to individual entrepreneurs and self-employed persons
Program description
«Азбука вкуса» уделяет особое внимание безопасности, целостности и доступности своих данных и систем, а также своих клиентов, сотрудников и партнеров. Мы ценим работу исследователей в области безопасности, направленную на повышение безопасности наших продуктов и услуг и призываем сообщество принять участие в нашей программе по вознаграждению за найденные уязвимости.
Отчеты автоматических сканеров уязвимостей (без проверки со стороны исследователя) рассматриваются вне области обнаружения.

Время ответа

Как правило, мы стараемся достичь следующего времени для ответа:
  • Время ответа (от момента получения информации) — до 5 рабочих дней;
  • Время на обработку отчета (от момента получения всей информации по отчету) — до 10 рабочих дней;
  • Время на выплату вознаграждения (от момента обработки отчета) — до 20 рабочих дней.
Время ответа может быть увеличено во время национальных праздничных дней и выходных.

Политика раскрытия информации

  • Необходимо придерживаться общих принципов ответственного раскрытия информации;
  • Не разглашать сведения об уязвимостях (даже если они уже исправлены) и не передавать сведения третьим лицам без явного согласия «Азбука вкуса»;
  • Не использовать обнаруженную уязвимость для своей собственной и/или иной выгоды, за исключением выгоды автора данной программы. Данное требование включает демонстрацию дополнительных рисков, попытка раскрыть конфиденциальные данные или найти другие уязвимости.

Правила программы

Основные правила

  • Размер вознаграждения зависит от уровня опасности найденной уязвимости;
  • В случае дублирования отчетов, выплата вознаграждения будет осуществлена только за первый присланный отчёт (при условии, что уязвимость, описанная в отчете, может быть полностью воспроизведена);
  • Многочисленные отчёты или описанные в одном отчёте уязвимости, вызванные одной основной проблемой, будут вознаграждены одним вознаграждением. Одна и та же уязвимость, обнаруженная в нескольких доменах, будет рассматривать как одна уязвимость. Просим Вас сообщать обо всех затронутых уязвимостью доменах в рамках одного отчета. Все последующие отчеты будут закрыты как дубликаты;
  • Тестовые аккаунты могут быть предоставлены по запросу, в исключительных случаях;
  • Любые отчеты, не входящие в область обнаружения, будут приняты к сведению, но не будут вознаграждены;
  • Участниками данной программы не могут являться сотрудники компании «Азбука вкуса» (действующими или бывшими), а равно аффилированными с ними лицами.

При поиске уязвимости и предоставлении отчета необходимо соблюдать следующие требования:

  • Предоставлять подробные отчеты с воспроизводимыми шагами, включая полные запросы, приводящие к эксплуатации уязвимости;
  • Просим Вас присылать по одной уязвимости в отчете, за исключением необходимости связать несколько уязвимостей для успешной эксплуатации атаки;
  • Не разглашать сведения об уязвимостях и не передавать сведения третьим лицам;
  • Не использовать инструменты тестирования уязвимостей, которые автоматически генерируют значительные объемы и/или частоту сетевого трафика;
  • Не осуществлять атаки, которые могут нанести вред надёжности и/или целостности служб/сервисов компании «Азбука вкуса» или данных (атаки типа «отказ в обслуживании» и другие);
  • Не открывать и/или не вносить изменения в учетные записи клиентов. Если необходимо, использовать свои собственные учетные записи для поиска уязвимостей;
  • Не осуществлять рассылку спама и атаки социальной инженерии на клиентов и сотрудников Компании, включая фишинг;
  • Не выполнять никаких физических атак;
  • Любая дальнейшая эксплуатация уязвимости после присланного отчета об этой уязвимости запрещена.

Определение области обнаружения уязвимостей в рамках политики

В область обнаружения уязвимостей входят:

  • Сервисы
Сервисы, расположенные на доменных именах: av.ru (и субдоменах), azbukavkusa.ru (и субдоменах);
Исключения:
  • Сервисы с мини-играми для получения промокодов и бонусов.
    Эти сервисы имеют специфические требования и особенности, которые могут не соответствовать целям и задачам нашей программы Bug Bounty.
Сервисы, расположенные на сетевых адресах: 195.19.210.0/24; 178.216.100.0/25
  • Уязвимости
Область обнаружения ограничена исключительно техническими уязвимостями в наших сервисах и веб-приложениях. Любая уязвимость дизайна или реализации, которая существенно влияет на конфиденциальность или целостность данных, вероятно, будет применима к настоящей политике.
Должны воспроизводятся в браузерах: Chrome, Firefox,Safari, Opera, Edge, Internet Explorer.
Браузеры должны быть обновлены до последней версии (последняя выпущенная стабильная версия) на момент отправления отчета. Уязвимости, которые требуют установки определённых сервисов, расширений и плагинов выходят за рамки области обнаружения уязвимостей.
Отчеты, содержащие информацию об уязвимостях нулевого дня в стороннем программном обеспечении, рассматриваются в индивидуальном порядке и не гарантируют выплату вознаграждения.

В область обнаружения уязвимостей не входят

Сервисы

  • tender.av.ru
  • owa.azbukavkusa.ru
  • pool01.azbukavkusa.ru
  • pool02.azbukavkusa.ru
  • sip.azbukavkusa.ru
  • meet.azbukavkusa.ru
  • join.azbukavkusa.ru
  • autodiscover.azbukavkusa.ru
  • Сервисы, предоставляющие информацию о торговых точках:
  • Все сервисы, не указанные в области обнаружения (out of scope).
  • Веб‑страницы и сервисы, перенаправляющие на другие доменные имена, также выходят из области обнаружения.
  • Беспроводная (Wi‑Fi) инфраструктура, включая сети в физических магазинах, не подлежит тестированию и оценке безопасности.

Типы уязвимостей

  • CSRF‑уязвимости для некритичных действий (например, logout).
  • Self‑XSS без демонстрации реального воздействия на безопасность пользователей или систем.
  • Framing‑ и clickjacking‑атаки без документированной серии кликов, подтверждающей реальную эксплуатацию.
  • Отсутствие механизма безопасности или отклонение от лучших практик без доказательства реального риска.
  • Отсутствие SSL/TLS или использование устаревших шифров SSL/TLS.
  • Раскрытие некритичной информации (например, версии продукта, протокола и т.д.).
  • Google/Yandex API‑ключи.
  • CWE‑521: слабые требования к паролям.
  • Атаки, требующие полного доступа к паролям, токенам, профилю браузера или локальной системе.
  • Ошибки, не затрагивающие последние версии современных браузеров, или ошибки, вызванные расширениями браузеров.
  • Уязвимости, проявляющиеся только у определённых пользователей или в определённых браузерах.
  • Атаки, требующие крайне маловероятного взаимодействия пользователя.
  • Атаки типа DoS (отказ в обслуживании) или уязвимости, связанные с ограничением частоты запросов.
  • Временные атаки, демонстрирующие наличие или отсутствие учётной записи.
  • Небезопасные настройки cookie

Требования к оформлению Отчета

Отчет об ошибке должен содержать подробное описание обнаруженной уязвимости, краткие шаги по ее воспроизведению или рабочее доказательство концепции (PoC). Видео и скриншоты могут иллюстрировать отчет об ошибке, но не могут его заменить.
В отчете необходимо отразить следующие основные разделы:
  • Название уязвимости.
  • Продукт и версия затрагиваемого ПО (компонента).
  • Рабочее доказательство концепции (PoC) или подробное описание шагов по воспроизведению обнаруженной проблемы безопасности.
  • Описание сценария атаки с указанием следующих основных аспектов: кто хочет использовать конкретную уязвимость, для какой выгоды, каким образом осуществляется реализация и другая дополнительная информация.
  • Рекомендации по устранению

Дальнейшая эксплуатация уязвимости после присланного отчета об этой уязвимости

Вся дальнейшая эксплуатация уязвимости после присланного по ней отчета выходит из области обнаружения, за исключением минимума, необходимого для доказательства эксплуатации уязвимости.
В случае атаки RCE или инъекции Вы можете вводить команды с указанием версии базы данных, имени системы или локального IP-адреса.
Вся последующая эксплуатация уязвимости, которая приведет к дальнейшим уязвимостям и/или к риску нарушения стабильности или целостности систем, выходит за область обнаружения.
Launched May 18, 2022
Edited March 14, 14:51
Program format
Vulnerabilities
Reward for vulnerabilities
by severity level
Critical
₽20K–150K
High
₽10K–60K
Medium
₽2K–20K
Low
₽1K–10K
None
₽0–5K
Excl. tax
Top hackers
Overall ranking
The ranking is still empty
Program statistics
₽7,124,000
Paid in total
₽32,090
Average payment
₽485,000
Paid in the last 90 days
452
Valid reports
513
Submitted reports
Description
Vulnerabilities
Ranking
Versions