EN

Магнит

Company: Магнит
«Магнит» входит в список крупнейших публичных компаний мира рейтинга Global 2000 Forbes и возглавляет рейтинг крупнейших частных работодателей России по версии Forbes. Общая численность сотрудников составляет около 348 тысяч человек.
Rewards are paid to individual entrepreneurs and self-employed persons
Program description

Общие правила

Правила для нас

  • Мы уважаем время и усилия исследователей
  • Мы отвечаем в течение 5 рабочих дней
  • Мы обрабатываем отчеты в течение 10 рабочих дней после ответа
  • Мы можем увеличить сроки обработки отчетов, но в таком случае мы проинформируем вас о задержке
  • Мы определим сумму вознаграждения в течение 15 рабочих дней после обработки
  • Мы сделаем все возможное, чтобы в процессе обработки отчета вы были в курсе нашего прогресса

Правила для вас

  • Будьте этичным хакером и уважайте конфиденциальность других пользователей
  • Старайтесь избегать нарушений конфиденциальности, уничтожения данных, а также прерывания или ухудшения качества наших услуг
  • Инструменты автоматического сканирования должны быть ограничены 5 запросами в секунду к одному целевому узлу, суммируя все инструменты и потоки, работающие параллельно
  • Перед началом исследований ознакомьтесь с правилами, указанными в этой программе
  • Старайтесь эффективно представлять информацию об уязвимостях

Область действия программы

Приложение Магнит
• id.magnit.ru (https://id.magnit.ru/) (https://id.magnit.ru/)
• middle-api.magnit.ru (https://middle-api.magnit.ru/) (https://middle-api.magnit.ru/)
• magnit.ru (https://magnit.ru/) (https://magnit.ru/) (https://magnit.ru/)
• hi.tander.ru (https://hi.tander.ru/) (https://hi.tander.ru/)
Сайт доставки
  • dostavka.magnit.ru
Сайт портала лояльности
  • my.magnit.ru

Вне области действия программы

  1. Другие домены в зоне *.magnit.ru
  2. Домены в зонах *.magnit.com, *.tander.ru
  3. Домены, принадлежащие компании Магнит
  4. IP-сеть 193.19.168.0/22 и другие
При обнаружении уязвимостей на сервисах и ресурсах вне области программы, которые принадлежат компании Магнит, вы можете подать отчёт об этом и он будет обработан по процессу.
Вознаграждение по подтвержденным отчётам вне области программы не предусмотрено.
Если необходимо уточнить принадлежность IP-адреса или домена компании Магнит, либо уточнить другую информацию по программе, то можете об этом написать на адрес “bb_support@magnit.ru”.
 

Вознаграждения

  • Критический уровень – до 250 000 руб
  • Высокий – до 50 000 руб
  • Средний – до 20 000 руб
  • Низкий – до 10 000 руб

Примеры критичности уязвимостей

Класс уязвимостиКритичность
RCE, command injectionsCritical
Blind RCEHigh
SQL injectionsHigh-Critical
SSRFHigh-Critical
Ошибки в бизнес логикеLow-High
LFI (доступ к локальным файлам и работа с ними)Medium-High
XXEHigh
Auth bypass, 2FA bypassHigh
RFIMedium-High
SSRF Blind (с доказанной угрозой ИБ)Medium
XSS stored (Работающая в последних версиях, популярных браузеров)Low-Medium
IDORLow-High
Blind IDORLow
 

Определение критичности уязвимости

Мы оставляем за собой право принимать окончательное решение в отношении серьезности найденной уязвимости. После получения отчета мы проводим внутреннее расследование и определяем степень критичности, учитывая множество факторов, в том числе:
  • Уровень привилегий, необходимый для реализации атаки
  • Трудность обнаружения и эксплуатации
  • Наличие требования взаимодействия с пользователем
  • Влияние на целостность, доступность и конфиденциальность затронутых данных
  • Влияние на бизнес-риски и репутационные риски
  • Количество затронутых пользователей

Векторы атак на мобильные приложения за которые выплачивается вознаграждение

  1. Удаленное выполнение кода на устройстве без физического доступа
  2. Утечка конфиденциальной информации без физического доступа к устройству

Уязвимости вне области тестирования и исключения из программы

Мы принимаем только те отчеты, которые содержат информацию о реальных проблемах безопасности и имеют реальные сценарии атак и взлома. Ниже приведены примеры, которые являются исключениями и уязвимостями вне области нашей программы, и не принимаются к рассмотрению без подтверждения реального вектора атаки или обхода политик безопасности:
  • Действия позволяющие выполнять перебор паролей/номеров телефонов/почт и др.
  • Избыточное функционирование СЗИ, политик безопасности или механизмов блокировки
  • Раскрытие публичных API-ключей
  • Возможность отправки большого количества сообщений
  • Отсутствие SSL pinning
  • Возможность обратного инжиниринга приложения или отсутствие бинарной защиты
  • Отсутствие обфускации в приложении
  • Любые уязвимости, эксплуатация которых возможна только при наличии root/jailbreak на устройстве
  • Не соблюдение best practices
  • За отчеты сканеров безопасности и других автоматизированных инструментов
  • Раскрытие несекретной информации (наименования ПО или его версии)
  • Информацию об IP-адресах, DNS-записях и открытых портах
  • Проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации
  • Уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ
  • Отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации
  • Отчеты об отсутствии SSL и других лучших практик (best current practices)
  • Уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов)
  • Уязвимости 0-day, о которых стало публично известно менее 30 дней назад, и уязвимости с CVSS выше 8, о которых стало известно менее 14 дней назад
  • Уязвимости 1-day, информация о которых получена командой по безопасности из открытых источников
  • Self-XSS и другие уязвимости, напрямую не влияющие на пользователей или данные приложения
  • Уязвимости, для которых требуются версии браузера, выпущенные за 6 и более месяцев (либо прекращена поддержка) до представления отчета
  • Ошибки в настройке CORS без демонстрации их эксплуатации
  • Разглашение информации о существовании в системе данного имени пользователя, email или номера телефона
  • Разглашение технической или нечувствительной информации (например, версии продукта или используемого ПО, stacktrace)
  • Open Redirect без дополнительного вектора атаки (например, кражи токена авторизации)
  • Подмена контента на странице
  • Tabnabbing
  • Clickjacking
  • Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем
  • Отсутствие лучших практик в конфигурации DNS и почтовых сервисов (DKIM/DMARC/SPF/TXT)
  • Неработающие ссылки на страницы социальных сетей или невостребованные ссылки в социальных сетях и подобные страницы
  • Возможность создавать учетные записи пользователей без каких-либо ограничений
  • Перечисление пользователей
  • Разглашение публичной информации о пользователях
  • Отсутствие уведомлений о важных действиях пользователя
  • Утечка конфиденциальных маркеров (например, маркера сброса пароля) доверенным третьим лицам по защищенному соединению (HTTPS)
  • Проблемы, никак не связанные с безопасностью (если вы обнаружите проблемы не связанные с безопасностью, направляйте их в техническую поддержку bb_support@magnit.ru)
  • Отсутствие механизма защиты или лучших практик без демонстрации реального влияния на безопасность пользователя или системы принимаются как информативные (например, HTTP заголовков безопасности, флагов безопасности cookie или защиты от CSRF)

Требования к участникам

  1. Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
  2. Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.
  3. Сотрудники Магнит, а также аффилированные лица не могут участвовать в программе.
  4. Сотрудники компаний, выполняющие работы по анализу защищенности ресурсов Магнита в течение работ, а также полу-года после окончания, не могут принимать участие в программе
 

Идентификация трафика

Существует вероятность того, что трафик, сгенерированный внешними исследователями безопасности, может быть классифицирован как вредоносный. Для предотвращения возникновения связанных с данным фактом проблем, пожалуйста, добавляйте следующий HTTP заголовок ко всем исходящим запросам — X-Bug-Bounty: Username.

Требования к отчету:

При составлении отчета должны выполняться следующие требования:
  • Заголовок с четким и кратким названием, который включает в себя тип уязвимости и затронутый актив
  • Описание, в чем состоит уязвимость и как это воспроизвести с четкими шагами
  • Вспомогательные материалы и ссылки
  • Влияние, которое может оказать злоумышленник
  • Рекомендации по устранению уязвимости
Не принимаются отчеты содержащие следующую информацию:
  • Необработанная информация от сканеров уязвимостей и других средств автоматического сканирования
  • Информация об уязвимостях без возможности реальной эксплуатации
  • Уязвимости вне области тестирования и исключения из программы

Исследователям необходимо:

  1. Соблюдать правила, которые устанавливает ПАО «Магнит» в своей программе по раскрытию уязвимостей, а также правила платформы Standoff 365 Bug Bounty
  2. Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным
  3. Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут вопросы об отчете
  4. Не разглашать сведения об уязвимости до их публичного раскрытия ПАО «Магнит»

Обязанности ПАО «Магнит»

ПАО «Магнит» обязуется:
  1. Отдавать приоритет задачам безопасности, оперативно подходить к устранению обнаруженных уязвимостей
  2. Уважать исследователей, не препятствовать раскрытию информации об отчете без четких на то оснований
  3. Не выдвигать исследователям необоснованные обвинения, связанные с участием в конкурсе

Публичное раскрытие информации об уязвимости

Публичное раскрытие по взаимному соглашению. ПАО «Магнит» обязуется открыто общаться с исследователями о сроках раскрытия информации. Стороны могут выбрать время, в которое будет обнародовано содержание отчета.

Недопустимые действия

Исследователям запрещено:
  • Воздействовать на учетные записи других пользователей без их разрешения
  • Использовать обнаруженную уязвимость в личных целях
  • Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов
  • Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов
  • Проводить физические атаки на персонал, дата-центры и офисы компании
  • Проводить атаки на системы Магнита с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам
  • Исследовать серверную инфраструктуру, где размещены веб-приложения
Если при исследовании сервисов компании вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.

Политика тестирования RCE

Тестирование уязвимостей, которые могут приводить к удаленному исполнению кода, должно выполняться в соответствии с данными правилами:
Во время тестирования запрещены любые действия на сервере кроме:
  • Выполнения команд ifconfig (ipconfig), hostname, whoami, id
  • Чтения содержимого файлов /etc/passwd и /proc/sys/kernel/hostname ("drive:/boot.ini, drive:/install.ini)
  • Создания пустого файла в каталоге текущего пользователя
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.

Политика тестирования SQL инъекций

Тестирование уязвимостей, которые могут приводить к внедрению команд SQL, должно выполняться в соответствии с данными правилами:
Во время тестирования запрещены любые действия на сервере кроме:
  • Получения данных о текущей БД (SELECT database()), ее версии (SELECT @@version), текущего пользователя (SELECT user(), SELECT system_user()) или имени хоста (SELECT @@hostname)
  • Получения схемы БД (SELECT table_schema), списка таблиц в ней (SELECT table_name) и имен столбцов в таблицах (SELECT column_name)
  • Выполнения математических, конверсионных или логических запросов (включая использование SLEEP) без извлечения данных (кроме тех, что перечислены выше)
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.

Политика загрузки и чтения файлов

Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с данными правилами:
Запрещенные действия при загрузке файлов:
  • Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие
  • Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера)
  • Загрузка вредоносных файлов (например, малвари или шпионского ПО)
При получении возможности чтения произвольных файлов на сервере запрещены любые действия кроме чтения таких файлов, как /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini). При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.
Launched February 5, 2024
Edited 09:08
Program format
Vulnerabilities
Reward for vulnerabilities
by severity level
Critical
₽50K–250K
High
₽20K–50K
Medium
₽10K–20K
Low
₽0–10K
None
₽0–0
Excl. tax
Top hackers
Overall ranking
The ranking is still empty
Program statistics
₽314,000
Paid in total
₽17,444
Average payment
₽0
Paid in the last 90 days
65
Valid reports
71
Submitted reports
Description
Vulnerabilities
Ranking
Versions