Магнит
Company: Магнит«Магнит» входит в список крупнейших публичных компаний мира рейтинга Global 2000 Forbes и возглавляет рейтинг крупнейших частных работодателей России по версии Forbes. Общая численность сотрудников составляет около 348 тысяч человек.
Rewards are paid to individual entrepreneurs and self-employed persons
Program description
BugBounty_Program
Общие правила
Правила для нас
- Мы уважаем время и усилия исследователей.
- Мы даем ответ на первичное сообщение в течение 3 рабочих дней.
- Мы проводим проверку и обработку отчета в течение 10 рабочих дней после ответа.
- В случае необходимости продления сроков обработки мы заранее уведомим вас и объясним причину задержки.
- Размер вознаграждения определяется в течение 15 рабочих дней после подтверждения уязвимости.
- Мы стремимся поддерживать прозрачную коммуникацию и держать вас в курсе статуса вашего отчета на всех этапах рассмотрения.
Правила для вас
- Будьте этичным хакером и уважайте конфиденциальность других пользователей
- Старайтесь избегать нарушений конфиденциальности, уничтожения данных, а также прерывания или ухудшения качества наших приложений.
- Инструменты автоматического сканирования должны быть ограничены 5 запросами в секунду к одному целевому узлу, суммируя все инструменты и потоки, работающие параллельно
- Перед началом исследований ознакомьтесь с правилами, указанными в этой программе
- Старайтесь предоставлять подробные отчеты с воспроизводимым шагами. Если отчет недостаточно подробный для воспроизведения проблемы, то он не будет принят.
Область действия программы
Приложение Магнит
- Google Play: https://play.google.com/store/apps/details?id=ru.tander.magnit&hl=ru
- App Store: https://apps.apple.com/ru/app/магнит-акции-и-доставка/id881463973
- id.magnit.ru
- middle-api.magnit.ru
- magnit.ru
Сайт портала лояльности
- my.magnit.ru
Управление аутентификацией и авторизацией пользователей
- hi.tander.ru
Вне области действия программы
- Другие домены в зоне *.magnit.ru
- Домены в зонах *.magnit.com, *.tander.ru
- Домены, принадлежащие компании Магнит
- IP-сеть 193.19.168.0/22 и другие
При обнаружении уязвимостей на сервисах и ресурсах вне области программы, которые принадлежат компании Магнит, вы можете подать отчёт об этом, и он будет обработан по процессу.
Вознаграждение по подтвержденным отчётам вне области программы не предусмотрено.
Если необходимо уточнить принадлежность IP-адреса или домена компании Магнит, либо уточнить другую информацию по программе, то можете об этом написать на адрес “bb_support@magnit.ru”.
Вознаграждения
- Критический уровень – до 250 000 руб
- Высокий – до 120 000 руб
- Средний – до 50 000 руб
- Низкий – до 15 000 руб
Примеры критичности уязвимостей
| Класс уязвимости | Критичность |
|---|---|
| RCE, command injections | Critical |
| Blind RCE | High |
| SQL injections | High-Critical |
| SSRF | High-Critical |
| Ошибки в бизнес логике | Low-High |
| LFI (доступ к локальным файлам и работа с ними) | Medium-High |
| XXE | High |
| Auth bypass, 2FA bypass | High |
| RFI | Medium-High |
| SSRF Blind (с доказанной угрозой ИБ) | Medium |
| XSS stored (Работающая в последних версиях, популярных браузеров) | Low-Medium |
| IDOR | Low-High |
| Blind IDOR | Low |
Определение критичности уязвимости
Мы оставляем за собой право принимать окончательное решение в отношении серьезности найденной уязвимости. После получения отчета мы проводим внутреннее расследование и определяем степень критичности, учитывая множество факторов, в том числе:
- Уровень привилегий, необходимый для реализации атаки
- Трудность обнаружения и эксплуатации
- Наличие требования взаимодействия с пользователем
- Влияние на целостность, доступность и конфиденциальность затронутых данных
- Влияние на бизнес-риски и репутационные риски
- Количество затронутых пользователей
Уязвимости вне области тестирования и исключения из программы
Мы принимаем только те отчеты, которые содержат информацию о реальных проблемах безопасности и имеют реальные сценарии атак и взлома. Ниже приведены примеры, которые являются исключениями и уязвимостями вне области нашей программы, и не принимаются к рассмотрению без подтверждения реального вектора атаки или обхода политик безопасности:
- Действия позволяющие выполнять перебор паролей/номеров телефонов/почт и др.
- Избыточное функционирование СЗИ, политик безопасности или механизмов блокировки
- Раскрытие публичных API-ключей
- Возможность отправки большого количества сообщений
- Отсутствие SSL pinning
- Возможность обратного инжиниринга приложения или отсутствие бинарной защиты
- Теоретические атаки не подтвержденные практическим применением
- Отсутствие обфускации в приложении
- Любые уязвимости, эксплуатация которых возможна только при наличии root/jailbreak на устройстве
- Не соблюдение best practices
- За отчеты сканеров безопасности и других автоматизированных инструментов
- Раскрытие несекретной информации (наименования ПО или его версии)
- Информацию об IP-адресах, DNS-записях и открытых портах
- Проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации
- Уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ
- Отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации
- Отчеты об отсутствии SSL и других лучших практик (best current practices)
- Уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов)
- Уязвимости 0-day, о которых стало публично известно менее 30 дней назад, и уязвимости с CVSS выше 8, о которых стало известно менее 14 дней назад
- Уязвимости 1-day, информация о которых получена командой по безопасности из открытых источников
- Self-XSS и другие уязвимости, напрямую не влияющие на пользователей или данные приложения
- Уязвимости, для которых требуются версии браузера, выпущенные за 6 и более месяцев (либо прекращена поддержка) до представления отчета
- Ошибки в настройке CORS без демонстрации их эксплуатации
- Разглашение информации о существовании в системе данного имени пользователя, email или номера телефона
- Разглашение технической или нечувствительной информации (например, версии продукта или используемого ПО, stacktrace)
- Open Redirect без дополнительного вектора атаки (например, кражи токена авторизации)
- Подмена контента на странице
- Tabnabbing
- Clickjacking
- Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем
- Отсутствие лучших практик в конфигурации DNS и почтовых сервисов (DKIM/DMARC/SPF/TXT)
- Неработающие ссылки на страницы социальных сетей или невостребованные ссылки в социальных сетях и подобные страницы
- Возможность создавать учетные записи пользователей без каких-либо ограничений
- Перечисление пользователей
- Разглашение публичной информации о пользователях
- Отсутствие уведомлений о важных действиях пользователя
- Утечка конфиденциальных маркеров (например, маркера сброса пароля) доверенным третьим лицам по защищенному соединению (HTTPS)
- Проблемы, никак не связанные с безопасностью (если вы обнаружите проблемы не связанные с безопасностью, направляйте их в техническую поддержку bb_support@magnit.ru)
- Отсутствие механизма защиты или лучших практик без демонстрации реального влияния на безопасность пользователя или системы принимаются как информативные (например, HTTP заголовков безопасности, флагов безопасности cookie или защиты от CSRF)
Требования к участникам
1.Сотрудники компании «Магнит», включая временно нанятых специалистов, стажёров и консультантов.
2.Аффилированные лица и дочерние компании «Магнит» (включая сотрудников и подрядчиков таких организаций).
3.Сотрудники компаний-подрядчиков, выполнявших или выполняющих работы по анализу защищённости, пентесту, аудитам или сопровождению систем безопасности компании «Магнит»
— в течение проведения этих работ и в течение 6 месяцев после их завершения.
4.Лица, имеющие доступ к внутренней инфраструктуре или исходному коду компании (в рамках трудового договора, договора подряда, стажировки и т.д.).
2.Аффилированные лица и дочерние компании «Магнит» (включая сотрудников и подрядчиков таких организаций).
3.Сотрудники компаний-подрядчиков, выполнявших или выполняющих работы по анализу защищённости, пентесту, аудитам или сопровождению систем безопасности компании «Магнит»
— в течение проведения этих работ и в течение 6 месяцев после их завершения.
4.Лица, имеющие доступ к внутренней инфраструктуре или исходному коду компании (в рамках трудового договора, договора подряда, стажировки и т.д.).
Идентификация трафика
Существует вероятность того, что трафик, сгенерированный внешними исследователями безопасности, может быть классифицирован как вредоносный. Для предотвращения возникновения связанных с данным фактом проблем, пожалуйста, добавляйте следующий HTTP заголовок ко всем исходящим запросам — X-Bug-Bounty: Username.
Требования к отчету:
При составлении отчета должны выполняться следующие требования:
- Заголовок с четким и кратким названием, который включает в себя тип уязвимости и затронутый актив
- Описание, в чем состоит уязвимость и как это воспроизвести с четкими шагами
- Вспомогательные материалы и ссылки
- Влияние, которое может оказать злоумышленник
- Рекомендации по устранению уязвимости
Не принимаются отчеты содержащие следующую информацию:
- Необработанная информация от сканеров уязвимостей и других средств автоматического сканирования
- Информация об уязвимостях без возможности реальной эксплуатации
- Уязвимости вне области тестирования и исключения из программы
Исследователям необходимо:
- Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным
- Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут вопросы об отчете
- Не разглашать сведения об уязвимости до их публичного раскрытия ПАО «Магнит».
Обязанности ПАО «Магнит»
ПАО «Магнит» обязуется:
- Отдавать приоритет задачам безопасности, оперативно подходить к устранению обнаруженных уязвимостей
- Уважать исследователей, не препятствовать раскрытию информации об отчете без четких на то оснований
- Не выдвигать исследователям необоснованные обвинения, связанные с участием в конкурсе
Публичное раскрытие информации об уязвимости
Публичное раскрытие по взаимному соглашению. ПАО «Магнит» обязуется открыто общаться с исследователями о сроках раскрытия информации. Стороны могут выбрать время, в которое будет обнародовано содержание отчета.
Недопустимые действия
Исследователям запрещено:
- Воздействовать на учетные записи других пользователей без их разрешения
- Использовать обнаруженную уязвимость в личных целях
- Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов
- Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов
- Проводить физические атаки на персонал, дата-центры и офисы компании
- Проводить атаки на системы Магнита с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам
- Исследовать серверную инфраструктуру, где размещены веб-приложения
Если при исследовании сервисов компании вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.
Политика безопасного тестирования RCE и получения удалённого доступа
Тестирование уязвимостей, которые могут приводить к удалённому исполнению кода или получению удалённого доступа к хостам/контейнерам/машинам (RCE, brute-force, утечка секретов и т.п.), должно проводиться в строгом соответствии с настоящими правилами.
Разрешённые действия на целевом хосте (минимально необходимые):
Разрешённые действия на целевом хосте (минимально необходимые):
- Выполнение команд для идентификации окружения: ifconfig / ipconfig, hostname, whoami, id.
- Чтение только следующих системных файлов: /etc/passwd, /proc/sys/kernel/hostname (или эквивалентные системные файлы).
- Создание пустого файла в домашнем каталоге текущего пользователя (для подтверждения возможности записи).
Строго запрещено без предварительного согласования:
- Выполнение любых изменений в конфигурации, установок или установщиков; запись в системные/приложенческие файлы; удаление файлов.
- Сбор/экспор/перенос больших объёмов данных; скачивание баз данных, логов или любых персональных данных.
- Установка постоянных обратных шеллов, агентов, бэкдоров или инструментов удалённого доступа.
- Выполнение действий, приводящих к отказу в обслуживании (DoS), отключению сервисов или массовому оповещению пользователей.
- Попытки получения root/административных привилегий, lateral movement (движение по сети), эскалация прав или иная эксплуатация, выходящая за рамки минимального PoC.
Требования к согласованию действий:
Если для воспроизведения уязвимости требуется выполнение действий, выходящих за пределы раздела «Разрешённые действия», вы обязаны предварительно согласовать эти шаги с нашей командой безопасности. Несогласованные действия считаются нарушением политики.
Если для воспроизведения уязвимости требуется выполнение действий, выходящих за пределы раздела «Разрешённые действия», вы обязаны предварительно согласовать эти шаги с нашей командой безопасности. Несогласованные действия считаются нарушением политики.
Последствия несоблюдения:
Если исследователь выполнял дальнейшее продвижение по сети, эскалацию привилегий или эксплуатацию уязвимостей внутри периметра компании «Магнит» — независимо от первоначального вектора (RCE, brute-force, утечка секретов и т.д.) — мы оставляем за собой право отказать в выплате вознаграждения и/или передать материалы в соответствующие подразделения для дальнейшего разбирательства.
Если исследователь выполнял дальнейшее продвижение по сети, эскалацию привилегий или эксплуатацию уязвимостей внутри периметра компании «Магнит» — независимо от первоначального вектора (RCE, brute-force, утечка секретов и т.д.) — мы оставляем за собой право отказать в выплате вознаграждения и/или передать материалы в соответствующие подразделения для дальнейшего разбирательства.
Политика тестирования SQL инъекций
Тестирование уязвимостей, которые могут приводить к внедрению команд SQL, должно выполняться в соответствии с данными правилами:
Во время тестирования запрещены любые действия на сервере кроме:
- Получения данных о текущей БД (SELECT database()), ее версии (SELECT @@version), текущего пользователя (SELECT user(), SELECT system_user()) или имени хоста (SELECT @@hostname)
- Получения схемы БД (SELECT table_schema), списка таблиц в ней (SELECT table_name) и имен столбцов в таблицах (SELECT column_name)
- Выполнения математических, конверсионных или логических запросов (включая использование SLEEP) без извлечения данных (кроме тех, что перечислены выше)
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.
Политика загрузки и чтения файлов
Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с данными правилами:
Запрещенные действия при загрузке файлов:
- Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие
- Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера)
- Загрузка вредоносных файлов (например, малвари или шпионского ПО)
При получении возможности чтения произвольных файлов на сервере запрещены любые действия кроме чтения таких файлов, как /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini). При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.