ПрограммыРейтинг пользователей
RU

ОдинКлюч

Компания — АБП2Б
ОдинКлюч - продукт для безопасного хранения паролей, который обеспечивает защиту важной информации компаний. Программа использует надёжное шифрование данных и многофакторную аутентификацию, предотвращая несанкционированный доступ к хранилищу паролей.
Наш программный продукт — это надёжное решение для безопасного хранения паролей. Бизнес-менеджер паролей обеспечивает централизованное управление всеми паролями вашей компании, гарантируя их сохранность и безопасность.
Описание программы

Описание программы

Задача

ОдинКлюч корпоративный менеджер хранения паролей. Исследование проводится методом черного ящика.

Скоуп

https://1k-standoff.ru
Параметры для входа:
user1
Glue7-Cardinal-Childhood
Для ОдинКлюч доступна документация https://документация.одинключ.рф
 
Примечание: если вы обнаружили уязвимость, не касающуюся перечисленных выше ресурсов, просим вас также сообщить нам о ней. Наша команда по безопасности изучит ваш отчет и устранит проблему.
 

Требования к участникам

  1. Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
  2. Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.

Исследователям необходимо:

  1. Соблюдать правила, которые устанавливает АБП2Б в своей программе по раскрытию уязвимостей, а также правила платформы The Standoff 365 Bug Bounty.
  2. Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
  3. Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут вопросы об отчете.
  4. Не разглашать информацию об уязвимости. Право на публикацию информации о найденной уязвимости остается за компанией.
 

Обязанности АБП2Б

Мы обязуемся:
  1. Отвечать в течение 15 рабочих дней.
  2. Обрабатывать отчеты в течение 30 рабочих дней после ответа. Сроки обработки отчетов могут увеличиваться, но в таком случае мы проинформируем вас о задержке.
  3. Определить сумму вознаграждения в течение 30 рабочих дней после обработки.
  4. Если вы проводите исследование ОдинКлюч, используйте учетную запись для тестирования user1, пароль для входа - Glue7-Cardinal-Childhood.
  5. Отдавать приоритет задачам безопасности, оперативно подходить к устранению обнаруженных уязвимостей.
  6. Уважать исследователей, не препятствовать раскрытию информации об отчете без четких на то оснований.
  7. Не выдвигать исследователям необоснованные обвинения, связанные с участием в конкурсе.
  8. Указывать имя исследователя, нашедшего уязвимость, в случае публикации информации о ней.
 

Недопустимые действия

Исследователям запрещено

• Использовать обнаруженную уязвимость в личных целях.
• Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
• Проводить физические атаки на персонал, дата-центры и офисы компании.
• Проводить атаки на системы ОдинКлюч с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам.

Вознаграждения за уязвимости

Размер вознаграждения за уязвимости, найденные в используемом компанией ПО сторонних производителей (например, opensource-библиотеках), оценивается по минимальной границе, но может быть увеличен по решению конкурсной комиссии. Все остальные уязвимости, не указанные в списке, могут быть оплачены по решению комиссии в зависимости от их уровня опасности (но вознаграждение не гарантируется).

ОдинКлюч не выплачивает вознаграждение:

  • за отчеты сканеров безопасности и других автоматизированных инструментов;
  • раскрытие несекретной информации (наименования ПО или его версии, технические параметры и метрики системы и пр.);
  • информацию об IP-адресах, DNS-записях и открытых портах;
  • проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
  • уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
  • отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
  • отчеты об отсутствии SSL и других лучших практик (best current practices);
  • уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
  • уязвимости 0-day или 1-day, информация о которых получена командой по безопасности из открытых источников
  • уязвимости к атаке перебором, если в отчете не описан метод, имеющий существенно более высокую эффективность, чем прямой перебор

Требования к оформлению отчета

Отчет об уязвимости должен содержать:
  • Название уязвимости.
  • Название продукта и версию затрагиваемого ПО (компонента).
  • Проверку концепции (proof of concept) или подробное описание обнаруженной уязвимости и шагов по ее воспроизведению.
  • Описание сценария атаки: кто может использовать уязвимость, для какой выгоды, как она эксплуатируется и т. д.
  • Рекомендации по устранению уязвимости.
Видео и скриншоты могут быть приложены к отчету об ошибке, но не могут его заменить.
Если при исследовании сервисов компании вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.
Передача информации об обнаруженной уязвимости происходит согласно правилам платформы.
Запущена 3 октября, 15:28
Изменена 9 октября, 15:42
Формат программы
По уязвимостям
Награда за уязвимости
по уровню опасности
Критический
30K–75K ₽
Высокий
10K–30K ₽
Средний
3K–10K ₽
Низкий
0–3K ₽
Отсутствует
0–0 ₽
До вычета налога
Топ-хакеры
Общий рейтинг
Баллы
@DonVorrin
Юрий
1,9K
@byq
Anton
1,6K
@AlexShev
1,3K
Статистика по программе
27
Всего отчетов принято
34
Всего отчетов сдано
Описание
Уязвимости
Рейтинг
Версии