Сервисы Mail.ru (Почта, Облако и Календарь) помогают миллионам пользователей быть продуктивными, общаться и хранить информацию. Безопасность файлов и приватность данных — главные приоритеты и неотъемлемые условия работы.
Суммы вознаграждения указаны в описании только для справки. Применимость вознаграждения и его размер могут зависеть от серьезности проблемы, новизны, вероятности использования, окружения и/или других факторов. Решение о вознаграждении принимается командой безопасности VK для каждого сообщения индивидуально.
Типы уязвимостей, подлежащие вознаграждению, указаны в таблице "Размер вознаграждения" в конце правил программы BugBounty.
Оплата уязвимостей, не перечисленных в таблице "Размер вознаграждения" присуждается на усмотрение владельца программы.
Mail.ru Mail for iOS,
Mail.ru Mail for Android,
Mail.ru Calendar for Android,
Код Доступа Mail.Ru for Android,
Код Доступа Mail.Ru for iOS,
MyMail for iOS,
MyMail for Android
mail.ru (без поддоменов), e.mail.ru, touch.mail.ru, m.mail.ru, tel.mail.ru, light.mail.ru, octavius.mail.ru, smtp.mail.ru, mxs.mail.ru, pop.mail.ru, imap.mail.ru, cloud.mail.ru, disk-o.cloud, calendar.mail.ru, todo.mail.ru, calls.mail.ru, auth.mail.ru, o2.mail.ru, account.mail.ru, swa.mail.ru, id.mail.ru, contacts.mail.ru за исключением делегированных и размещенных на внешнем хостинге доменов и фирменных партнерских сервисов.
Ошибки, общие для приложения/сервера Mail.Ru и MyMail, обычно принимаются как одна ошибка.
Публичные уязвимости 0-day/1-day могут считаться дубликатами в течении нескольких недель после публикации информации об уязвимости если уязвимость известна нашей команде из открытых источников и мы работаем над ее устранением или исправлением.
love.mail.ru
Уязвимости | Вознаграждение |
---|---|
Удаленное исполнение кода (RCE) | 1 800 000 ₽ |
Инъекции (SQLi или альтернатива) | 1 200 000 ₽ |
Доступ к локальным файлам и работа с ними (LFR, RFI, XXE) без ограничений типа jail/chroot/file type restrictions | 1 200 000 ₽ |
RCE в Dev. инфраструктуре / изолированный или виртуализированный одноцелевой процесс (например преобразование изображений) | 450 000 ₽ |
SSRF, не слепые (с возможностью читать текст ответа), кроме выделенных прокси | 600 000 ₽ |
SSRF, слепые, кроме выделенных прокси | 120 000 ₽ |
Уязвимость на стороне сервера с раскрытием информации (например утечки памяти / IDORs) критически важных или высоко конфиденциальных данных приложения (например, сессии, учетные записи, пароли, кредитные карты, сообщения электронной почты) | 750 000 ₽ |
Уязвимость на стороне сервера с раскрытием информации (например, утечки памяти / IDORs) защищенных персональных данных или конфиденциальной информации клиента | 450 000 ₽ |
Уязвимость на стороне сервера с раскрытием информации (например утечки памяти / IDORs) конфиденциальных данных приложения* или инфраструктуры / повышение привилегий роли в организации | 120 000 ₽ |
Обход аутентификации администратор/поддержка | 450 000 ₽ |
Слепая XSS в интерфейсе администратор/поддержки | 180 000 ₽ |
Межсайтовый скриптинг (XSS) при чтении электронной почты через содержимое сообщения (кроме AMP) | 120 000 ₽ |
Межсайтовый скриптинг (XSS)** | 60 000 ₽ |
Подделка межсайтовых запросов (СSRF) | 9 000 - 60 000 ₽ |
Компрометация локальной учетной записи мобильного приложения или полный доступ к данным | 60 000 ₽ |
Техника обхода SDC*** для критически важных проектов | 90 000 ₽ |
*подробный вывод ошибок, раскрытие путей локальной установки, вывод phpinfo(), счетчики производительности и т.д. не считаются конфиденциальными, такие сообщения обычно принимаются без вознаграждения. Не принимаются сообщения о раскрытии версий программного обеспечения
**Self-XSS, XSS, специфичные для не распространенных браузеров (например, IE), заблокированные CSP и другие векторы без доказанного выполнения скриптов обычно принимаются без вознаграждения. Захват неиспользуемого поддомена рассматривается в той же степени тяжести / условиях, что и подделка межсайтовых запросов (СSRF) .
***SDC-отчеты принимаются для SDC-aware доменов с критическими данными (e|m|tel|touch|light|cloud|calendar|biz).mail.ru. Обход SDC — это прямой или косвенный (через SDC-аналогичный домен) доступ к продуктовым API этих проектов без действительного sdc/sdcs cookie, без доступа к ssdc cookie auth.mail.ru или действительных учетных данных пользователя. Web Based SDC атаки через, например, мобильные приложения не рассматриваются.
Уязвимости в приложениях для Android также могут участвовать в программе Google Play Bug Bounty.