Описание программы
Программа действует до 02 декабря 23:59
Обращаем внимание, что общий фонд вознаграждений ограничен.
Рекомендуем сразу заполнить графу "реквизиты" в личном кабинете при направлении отчета, т.к. вознаграждения должны быть выплачены по истечении срока действия программы. В конце срока действия программы выплаты без предоставленных реквизитов могут быть назначены другому исследователю в порядке сдачи отчетов.
Задача
ОдинКлюч корпоративный менеджер хранения паролей. Исследование проводится методом черного ящика.
Скоуп
Параметры для входа:
user1
Glue7-Cardinal-Childhood
Примечание: если вы обнаружили уязвимость, не касающуюся перечисленных выше ресурсов, просим вас также сообщить нам о ней. Наша команда по безопасности изучит ваш отчет и устранит проблему.
Требования к участникам
- Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
- Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.
Исследователям необходимо:
- Соблюдать правила, которые устанавливает АБП2Б в своей программе по раскрытию уязвимостей, а также правила платформы The Standoff 365 Bug Bounty.
- Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
- Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут вопросы об отчете.
- Не разглашать информацию об уязвимости. Право на публикацию информации о найденной уязвимости остается за компанией.
Обязанности АБП2Б
Мы обязуемся:
- Отвечать в течение 15 рабочих дней.
- Обрабатывать отчеты в течение 30 рабочих дней после ответа. Сроки обработки отчетов могут увеличиваться, но в таком случае мы проинформируем вас о задержке.
- Определить сумму вознаграждения в течение 30 рабочих дней после обработки.
- Если вы проводите исследование ОдинКлюч, используйте учетную запись для тестирования user1, пароль для входа - Glue7-Cardinal-Childhood.
- Отдавать приоритет задачам безопасности, оперативно подходить к устранению обнаруженных уязвимостей.
- Уважать исследователей, не препятствовать раскрытию информации об отчете без четких на то оснований.
- Не выдвигать исследователям необоснованные обвинения, связанные с участием в конкурсе.
- Указывать имя исследователя, нашедшего уязвимость, в случае публикации информации о ней.
Недопустимые действия
Исследователям запрещено
• Использовать обнаруженную уязвимость в личных целях.
• Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
• Проводить физические атаки на персонал, дата-центры и офисы компании.
• Проводить атаки на системы ОдинКлюч с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам.
Вознаграждения за уязвимости
Размер вознаграждения за уязвимости, найденные в используемом компанией ПО сторонних производителей (например, opensource-библиотеках), оценивается по минимальной границе, но может быть увеличен по решению конкурсной комиссии. Все остальные уязвимости, не указанные в списке, могут быть оплачены по решению комиссии в зависимости от их уровня опасности (но вознаграждение не гарантируется).
ОдинКлюч не выплачивает вознаграждение:
- за отчеты сканеров безопасности и других автоматизированных инструментов;
- раскрытие несекретной информации (наименования ПО или его версии, технические параметры и метрики системы и пр.);
- информацию об IP-адресах, DNS-записях и открытых портах;
- проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
- уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
- отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
- отчеты об отсутствии SSL и других лучших практик (best current practices);
- уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
- уязвимости 0-day или 1-day, информация о которых получена командой по безопасности из открытых источников
- уязвимости к атаке перебором, если в отчете не описан метод, имеющий существенно более высокую эффективность, чем прямой перебор
Требования к оформлению отчета
Отчет об уязвимости должен содержать:
- Название уязвимости.
- Название продукта и версию затрагиваемого ПО (компонента).
- Проверку концепции (proof of concept) или подробное описание обнаруженной уязвимости и шагов по ее воспроизведению.
- Описание сценария атаки: кто может использовать уязвимость, для какой выгоды, как она эксплуатируется и т. д.
- Рекомендации по устранению уязвимости.
Видео и скриншоты могут быть приложены к отчету об ошибке, но не могут его заменить.
Если при исследовании сервисов компании вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.
Передача информации об обнаруженной уязвимости происходит согласно правилам платформы.