Сервисы Mail.ru (Почта, Облако и Календарь) помогают миллионам пользователей быть продуктивными, общаться и хранить информацию. Безопасность файлов и приватность данных — главные приоритеты и неотъемлемые условия работы.
В рамках программы Bug Bounty принимаются и оплачиваются только отчеты об уязвимостях, ранее неизвестных команде VK.
Типы уязвимостей, подлежащие вознаграждению, указаны в таблице "Размер вознаграждения" в конце правил программы Bug Bounty.
Суммы вознаграждения указаны в описании только для справки.
Применимость вознаграждения и его размер могут зависеть от серьезности проблемы, новизны, вероятности использования, окружения и/или других факторов.
Решение о вознаграждении принимается командой безопасности VK для каждого сообщения индивидуально.
Оплата уязвимостей, не перечисленных в таблице "Размер вознаграждения" присуждается на усмотрение владельца программы.
Mail.ru Mail for iOS,
Mail.ru Mail for Android,
Mail.ru Calendar for Android,
Код Доступа Mail.Ru for Android,
Код Доступа Mail.Ru for iOS,
MyMail for iOS,
MyMail for Android
Облако Mail.ru
mail.ru (без поддоменов), e.mail.ru, touch.mail.ru, m.mail.ru, tel.mail.ru, light.mail.ru, octavius.mail.ru, smtp.mail.ru, mxs.mail.ru, pop.mail.ru, imap.mail.ru, cloud.mail.ru, disk-o.cloud, calendar.mail.ru, todo.mail.ru, calls.mail.ru, auth.mail.ru, o2.mail.ru, account.mail.ru, swa.mail.ru, id.mail.ru, contacts.mail.ru, notes.mail.ru за исключением делегированных и размещенных на внешнем хостинге доменов и фирменных партнерских сервисов.
Ошибки, общие для приложения/сервера Mail.Ru и MyMail, обычно принимаются как одна ошибка.
Отчеты с уязвимостями 0-day/1-day могут считаться дубликатами в течение нескольких недель после публикации информации об уязвимости если уязвимость известна нашей команде и мы работаем над ее митигацией или исправлением.
Отчет, отправленный действующим или бывшим сотрудником (до года с момента увольнения) группы компаний VK, принимается без оплаты.
При тестировании RCE, SQLi, LFI, LFR, SSTI разрешено использовать только МИНИМАЛЬНО возможный POC для доказательства (sleep, чтение /etc/passwd, curl), если вы хотите протестировать возможность повышения прав на сервере - создайте, пожалуйста, отчет и пропишите, что желаете повысить права.
Запрещена публикация или раскрытие деталей отчетов без согласования с ИБ VK.
Мы оставляем за собой право отклонить любой запрос на публичное раскрытие отчета.
love.mail.ru
При тестировании рекомендуется ограничить средства сканирования до 10 запросов в секунду.
Уязвимости | Вознаграждение |
---|---|
Удаленное исполнение кода (RCE) | 3 600 000 ₽ |
Инъекции (SQLi или альтернатива) | 2 400 000 ₽ |
Доступ к локальным файлам и работа с ними (LFR, RFI, XXE) без ограничений типа jail/chroot/file type restrictions | 2 400 000 ₽ |
RCE/LFI в Dev. инфраструктуре / изолированном или виртуализированном процессе | 600 000 ₽ |
SSRF, не слепые (с возможностью читать текст ответа), кроме выделенных прокси | 800 000 ₽ |
SSRF, слепые, кроме выделенных прокси | 150 000 ₽ |
Уязвимость на стороне сервера с раскрытием информации (например утечки памяти / IDORs) критически важных или высоко конфиденциальных данных приложения (например, сессии, учетные записи, пароли, кредитные карты, сообщения электронной почты) | 1 000 000 ₽ |
Уязвимость на стороне сервера с раскрытием информации (например, утечки памяти / IDORs) защищенных персональных данных или конфиденциальной информации клиента | 600 000 ₽ |
Уязвимость на стороне сервера с раскрытием информации (например утечки памяти / IDORs) конфиденциальных данных приложения или инфраструктуры / повышение привилегий роли в организации | 150 000 ₽ |
Обход аутентификации администратор/поддержка | 600 000 ₽ |
Слепая XSS в интерфейсе администратор/поддержки | 250 000 ₽ |
Межсайтовый скриптинг (XSS) при чтении электронной почты через содержимое сообщения (кроме AMP) | 120 000 ₽ |
Межсайтовый скриптинг (XSS) | 60 000 ₽ |
Подделка межсайтовых запросов (СSRF) | 9 000 - 60 000 ₽ |
Компрометация локальной учетной записи мобильного приложения или полный доступ к данным | 60 000 ₽ |
Техника обхода SDC* для критически важных проектов | 90 000 ₽ |
Self-XSS, XSS, специфичные для не распространенных браузеров (например, IE), заблокированные CSP и другие векторы без доказанного выполнения скриптов обычно принимаются без вознаграждения.
Захват неиспользуемого поддомена рассматривается в той же степени тяжести / условиях, что и подделка межсайтовых запросов (СSRF).
*SDC-отчеты принимаются для SDC-aware доменов с критическими данными (e|m|tel|touch|light|cloud|calendar|biz).mail.ru. Обход SDC — это прямой или косвенный (через SDC-аналогичный домен) доступ к продуктовым API этих проектов без действительного sdc/sdcs cookie, без доступа к ssdc cookie auth.mail.ru или действительных учетных данных пользователя. Web Based SDC атаки через, например, мобильные приложения не рассматриваются.
Уязвимости в приложениях для Android также могут участвовать в программе Google Play Bug Bounty.
Подробный вывод ошибок, раскрытие путей локальной установки, вывод phpinfo(), счетчики производительности и т.д. не считаются конфиденциальными, такие сообщения обычно принимаются без вознаграждения. Не принимаются сообщения о раскрытии версий программного обеспечения
Исследователь может пожертвовать начисленное вознаграждение на благотворительность с помощью сервиса VK Добро, выбрав любой фонд на сайте или среди других фондов VK Добра на выбор и написав об этом в отчет