Росфинмониторинг: Публичные сервисы
Company: РосфинмониторингФедеральная служба по финансовому мониторингу
Rewards are paid to individual entrepreneurs and self-employed persons
Only citizens of the following countries can participate: Russia
Participants must be aged 18 years and over
Program description
Правила для нас
- Мы отвечаем в течение 7 рабочих дней.
- Мы обрабатываем отчеты в течение 21 рабочего дня после ответа.
- Мы можем увеличить сроки обработки отчетов, но в таком случае мы проинформируем вас о задержке.
- Мы определим сумму вознаграждения в течение 21 рабочего дня после обработки.
- Мы сделаем все возможное, чтобы в процессе обработки отчета вы были в курсе нашего прогресса.
Правила для вас
- Будьте этичным хакером и уважайте конфиденциальность других пользователей.
- Старайтесь избегать нарушений конфиденциальности, уничтожения данных, а также прерывания или ухудшения качества наших сервисов.
- Если вы проводите исследование веб-ресурсов и API, обязательно указывайте в HTTP-заголовке
User-Agent X-BugBountyсо значениемyour_username. Это поможет избежать потенциальной блокировки. - При регистрации учетной записи для тестирования в поле «Фамилия» используйте слово
Standoff. - Инструменты автоматического сканирования должны быть ограничены 30 запросами в секунду к одному целевому узлу.
- При обнаружении нескольких проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.
- Включите в отчет информацию об IP-адресе, с которого происходило тестирование, а также информацию о времени тестирования.
- Используйте только собственные учетные записи.
- Не совершайте действия, которые могут нанести ущерб компании, ее инфраструктуре, клиентам и партнерам.
- Используйте базовые команды для POC или другие минимальные доказательства наличия уязвимости в системе.
- Свяжитесь с нами, если вы понимаете, что для дальнейшего тестирования вам необходимо нарушить эти правила.
Скоуп
Диапазон исследуемых IP-адресов - 188.254.86.129 - 188.254.86.158:
Уровень 1
- Критичные веб-сервисы:
• Официальные веб-порталы Росфинмониторинга (188.254.86.133, 188.254.86.136)
• Основные сайты и домены организации (188.254.86.133)
• Порталы для внешних пользователей (188.254.86.136) - Критичные API:
• REST/JSON API на основных порталах Росфинмониторинга (188.254.86.133, 188.254.86.136)
• Интеграционные сервисы (188.254.86.133, 188.254.86.136)
Уровень 2
- Важные сервисы:
• Специализированные системы финансового мониторинга (188.254.86.133)
• Почтовые веб-интерфейсы и связанные сервисы (188.254.86.135)
• Вспомогательные порталы для участников финансового рынка
• Информационные системы общего доступа - Вспомогательные API:
• SOAP/XML сервисы для внешних организаций
• Webhook endpoints для уведомлений и callback'ов
• API отчетности и статистики (188.254.86.133)
• API третьих лиц интегрированные в системы
Уровень 3
- Инфраструктурные сервисы:
• SMTP и почтовые серверы (188.254.86.143, 188.254.86.144)
• Relay и пересылочные сервисы (188.254.86.130)
• Технические поддомены и служебные интерфейсы
• Системы мониторинга и статистики
Размеры вознаграждений
| Уровень критичности | Уровень 1 | Уровень 2 | Уровень 3 |
|---|---|---|---|
| Критический | 100 000 – 150 000 руб. | 75 000 – 112 500 руб. | 50 000 – 75 000 руб. |
| Высокий | 50 000 – 100 000 руб. | 37 500 – 75 000 руб. | 25 000 – 50 000 руб. |
| Средний | 15 000 – 50 000 руб. | 5 000 – 15 000 руб. | 0 руб. |
| Низкий | 5 000 – 15 000 руб. | 0 руб. | 0 руб. |
Правила раскрытия информации
- Отправляйте отчеты только через форму на платформе.
- Не допускается разглашать сведения об уязвимости до их публичного раскрытия Росфинмониторингом.
- В случае нарушения данных правил, мы будем вынуждены исключить вас из списка участников данной и любых других программ Росфинмониторинга, а также принять меры, соответствующие УК РФ.
Исключения
Мы не выплачиваем вознаграждение за:
- Отчеты сканеров безопасности и других автоматизированных инструментов.
- Информацию об IP-адресах, DNS-записях и открытых портах без демонстрации эксплуатации.
- Проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации.
- Уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ (например, WAF).
- Отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации.
- Self-XSS и другие уязвимости, напрямую не влияющие на пользователей или данные приложения.
- Разглашение технической или нечувствительной информации (например, версии продукта или используемого ПО, информации об IP--адресах, DNS-записях, открытых портах).
- Раскрытие публичной информации о пользователе, например nickname.
- Тестирование SMTP-серверов и relay-сервисов методами, нарушающими работу почтовых сервисов или приводящими к рассылке спама.
- Попытки relay-атак через почтовые и пересылочные серверы без предварительного согласования.
- Отчеты об отсутствующем механизме защиты/лучшей текущей практике (например отсутствие CSRF маркера, защита от framing/clickjacking) без демонстрации реального влияния на безопасность пользователя или системы.
- Сообщения об опубликованных и неопубликованных политиках SPF и DMARC.
- Кроссайтовые подделки запросов, приводящие к выходу из системы (logout CSRF).
- В части уязвимостей 3rd party компонентов – принимаем только отчеты с доказанным влиянием на инфраструктуру Росфинмонтиоринга.
- Безопасность рутированных, jailbreaked или иным образом модифицированных устройств и приложений.
- Возможность обратного инжиниринга приложения или отсутствие бинарной защиты.
- Open redirections принимаются только в том случае, если определено влияние на безопасность, например возможность кражи авторизационного токена.
- Ввод неформатированного текста, звука, изображения, видео в ответ сервера вне пользовательского интерфейса (например, в данных JSON или сообщении об ошибке), если это не приводит к подмене пользовательского интерфейса, изменению поведения пользовательского интерфейса или другим негативным последствиям.
- Same Site scripting, reflected download и подобные атаки с сомнительным воздействием.
- Отчеты, связанные с CSP, для доменов без CSP и доменных политик с небезопасными eval и/или небезопасными inline.
- Гомографические атаки IDN.
- XSPA (сканирование IP/портов во внешние сети).
- Инъекция формул Excel CSV.
- Скриптинг в документах PDF.
- Атаки, требующие полного доступа к локальной учетной записи или профилю браузера.
- Теоретические атаки без доказательства возможности использования.
- Уязвимости отказа в обслуживании (DoS) связанные с отправкой большого количества запросов или данных (флуд).
- Возможность отправки большого количества сообщений.
- Возможность отправки спама или файла вредоносного ПО.
- Раскрытие информации через внешние ссылки, не контролируемые компанией.
- Раскрытие неиспользуемых или должным образом ограниченных ключей JS API (например, ключ API для внешнего картографического сервиса).
- Сообщения о возможных DDoS-атаках.
- Раскрытие частных IP-адресов или доменов, указывающих на частные IP-адреса.
- Сообщения о публично доступных панелях входа.
- Clickjacking.
- Обход проверки на root и jailbreak.
- Утечка конфиденциальных маркеров (например, маркера сброса пароля) доверенным третьим лицам по защищенному соединению (HTTPS).
Недопустимые действия
Исследователям запрещено:
- Получать доступ к данным других пользователей без их согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию.
- Воздействовать на учетные записи других пользователей без их разрешения.
- Использовать обнаруженную уязвимость в личных целях.
- Использовать инструменты тестирования, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
- Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки).
- Проводить физические атаки на персонал, дата-центры и офисы Росфинмониторинга.
- Проводить атаки с использованием техник социальной инженерии (фишинг, вишинг и т. д.).
- Разглашать сведения об уязвимости до их публичного раскрытия Росфинмониторингом.