Okko — один из крупнейших российских онлайн-кинотеатров. Здесь смотрят фильмы, сериалы, мультфильмы, ТВ-каналы, спорт и многое другое. Подпиской легко делиться: в одном аккаунте можно создать пять профилей, взрослых или детских. И у каждого будут свои персональные рекомендации и история просмотров.
Описание программы

Правила для нас

  • Мы уважаем время и усилия наших исследователей.
  • Мы отвечаем в течение 10 рабочих дней.
  • Мы обрабатываем отчеты в течение 20 рабочих дней после ответа.
  • Мы можем увеличить сроки обработки отчетов, но в таком случае мы проинформируем вас о задержке.
  • Мы определим сумму вознаграждения в течение 10 рабочих дней после обработки.
  • Мы сделаем все возможное, чтобы в процессе обработки отчета вы были в курсе нашего прогресса.
 

Правила для вас

  • Будьте этичным хакером и уважайте конфиденциальность других пользователей.
  • Старайтесь избегать нарушений конфиденциальности, уничтожения данных, а также прерывания или ухудшения качества наших услуг.
  • Запрещено любое боковое перемещение и постэксплуатация после получения первоначального доступа.
  • Если вы проводите исследование веб-ресурсов и API, обязательно указывайте в HTTP-заголовке User-Agent, это поможет избежать потенциальной блокировки аномальной активности.
  • При регистрации учетной записи для тестирования в поле «Фамилия» используйте слово Standoff, это поможет избежать потенциальной блокировки учетной записи.
  • Инструменты автоматического сканирования должны быть ограничены 15 запросами в секунду к одному целевому узлу, суммируя все инструменты и потоки, работающие параллельно, в том числе при обеленнии трафика.
  • Перед началом исследований ознакомьтесь с правилами, указанными в этой программе.
  • Старайтесь эффективно предоставлять информацию об уязвимостях.
  • Если при исследовании сервисов Okko вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.
  • Telegram-бот okko_bug_bounty_bot не входит в область поиска уязвимостей нашей программы.
 

Обеление трафика

Для дополнительного анализа ресурсов на уязвимости вы можете воспользоваться нашим telegram-ботом для обеления трафика.
Ссылка на telegram-бота: https://t.me/okko_bug_bounty_bot
  • Введите свой ник на программе Standoff 365 в чат, чтобы получить UUID для обеления, действующий до конца календарного месяца.
  • Для обеления трафика необходимо добавить полученный UUID в заголовок X-BugBounty: UUID.
  • Ограничение по запросам для каждого ресурса: 15 RPS.
  • Telegram-бот не входит в область поиска уязвимостей нашей программы.
 

Область поиска уязвимостей

Приоритетные

  • api.okko.tv
  • auth.okko.sport
  • auth.okko.tv
  • auth.playfamily.ru
  • auth.yotaplay.ru
  • auth2.playfamily.ru
  • cabinet.okko.tv
  • cabinet-rus.okko.tv
  • cdp.playfamily.ru
  • config.tvgateway.ru
  • ctx.playfamily.ru
  • ctx.yotaplay.ru
  • drm.playfamily.ru
  • drm.yotaplay.ru
  • game.okko.tv
  • grgr.okko.tv
  • lge.yotaplay.ru
  • lgebd.yotaplay.ru
  • mimimi.okko.team
  • mimimi.okko.tv
  • nettv4.playfamily.ru
  • nex.okko.team
  • okko.ru
  • okko.sport
  • okko.tv
  • ovpn.okko.team
  • panasonic.yotaplay.ru
  • panasonicbd.yotaplay.ru
  • payments.playfamily.ru
  • plato.okko.team
  • plato1.okko.team
  • plato2.okko.team
  • playbackstatus.playfamily.ru
  • player.okko.tv
  • pobeda.okko.tv
  • sberzvuk-vp-pa.yotaplay.ru
  • secrets.okko.team
  • stat.okko.sport
  • stat.okko.tv
  • stat.playfamily.ru
  • stat2.okko.tv
  • static.okko.tv
  • tvgateway.ru
  • tvxx-server.okko.tv
  • tv.yotaplay.ru
  • vp.okko.tv
  • vp-auth.okko.tv
  • vp-gateway.okko.tv
  • zbs.okko.tv

Второстепенные

  • *.okko.sport
  • *.okko.tv
  • *.playfamily.ru
  • *.tvgateway.ru
 
Вознаграждение за уязвимости, найденные в доменах «Второстепенные», не гарантируется.
В случае вознаграждения за уязвимости, найденные в доменах «Второстепенные», оплата будет ниже стандартной.
 

Вознаграждение

Все отчеты об уязвимостях рассматриваются индивидуально. Мы выплачиваем вознаграждения только за обнаружение ранее неизвестных проблем при выполнении всех правил программы. Наши выплаты основаны на внутренней политике по управлению уязвимостями. Мы оставляем за собой право принимать окончательное решение по серьезности найденной уязвимости, критичности компонента и изменения размера выплаты в большую или в меньшую сторону.
Выплата при эксплуатации уязвимости без использования обеления трафика будет увеличена.
Уровень критичностиЭксплуатация уязвимости без обеленияЭксплуатация уязвимости с обелением
Критический300 000 ₽ - 500 000 ₽70 000 ₽ - 100 000 ₽
Высокий70 000 ₽ - 300 000 ₽20 000 ₽ - 70 000 ₽
Средний10 000 ₽ - 70 000 ₽2 000 ₽ - 10 000 ₽
Низкий0 000 ₽ - 10 000 ₽0 000 ₽ - 2 000 ₽
 

Правила отчета:

Отчет должен быть полноценным и понятным, содержать все необходимые шаги/команды/зависимости для воспроизведения уязвимости. Шаги необходимо расписывать подробно, с указанием того, что именно является уязвимым и как именно эксплуатировать эту уязвимость. Также необходимо приводить подтверждение - скриншоты запросов, результата или видео с полной реализацией атаки и четкими указаниями каждого шага.
Помимо прочего, нужно описать потенциальные риски, от эксплуатации уязвимости, а также будем признательны, если вы опишите ещё и рекомендации по устранению. При возможности, в отчете необходимо отразить возможность эксплуатацию уязвимости без обеления. Если такой возможности нет, то нужно добавить в описание отчета выданный вам UUID для обеления.
Так как боковое перемещение запрещено для уязвимостей достаточно следующих демонстраций:
  • SQL Injection – получение версии базы данных.
  • XXE / XML injection – демонстрация факта XXE, кроме DOS.
  • XSS – вывод алерта или сообщения в лог.
  • RCE – hostname, id, ifconfig.
  • SSRF – curl на внутренний домен http://10.2.221.92:8080, ожидаемый ответ - 302.
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.
 

Уязвимости:

Основной упор мы хотим сделать на получении критичных уязвимостей:
  • RCE
  • Injections
  • SSRF
  • LFI/RFI
  • XXE
 

Мы не выплачиваем вознаграждение за

  • Любую вредоносную активность, которая может привести к отказу в обслуживании (DoS).
  • Отчеты сканеров безопасности и других автоматизированных инструментов.
  • Информацию об IP-адресах, DNS-записях и открытых портах.
  • Проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации.
  • Уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ (например, WAF).
  • Отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации.
  • Уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов).
  • Уязвимости 0-day и 1-day, о которых стало публично известно менее 30 дней назад.
  • Уязвимости 0-day и 1-day с CVSS выше 8, о которых стало известно менее 21 дня назад.
  • Уязвимости 0-day и 1-day с CVSS ниже 8 найденные не в ошибочном построение архитектуры.
  • Self-XSS и другие уязвимости, напрямую не влияющие на пользователей или данные приложения.
  • Уязвимости, для которых требуются версии браузера, выпущенные за 6 и более месяцев (либо прекращена поддержка) до представления отчета.
  • Ошибки в настройке CORS без демонстрации их эксплуатации.
  • Разглашение информации о существовании в системе данного имени пользователя, email или номера телефон.
  • Разглашение технической или нечувствительной информации (например, версии продукта или используемого ПО, stacktrace).
  • Tabnabbing.
  • Clickjacking.
  • Отчеты, связанные с CSP, для доменов без CSP и доменных политик с небезопасными eval и/или небезопасными inline.
  • Атаки, требующие полного доступа к локальной учетной записи или профилю браузера.
  • Раскрытие конфиденциальной информации пользователей через внешние ресурсы, не контролируемые Okko, например данные со шпионского ПО.
  • Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем.
  • Отсутствие лучших практик в конфигурации DNS и почтовых сервисов (DKIM/DMARC/SPF/TXT).
  • Неработающие ссылки на страницы социальных сетей или невостребованные ссылки в социальных сетях и подобные страницы.
  • Возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности.
  • Возможность создавать учетные записи пользователей без каких-либо ограничений.
  • Перечисление пользователей.
  • Разглашение публичной информации о пользователях.
  • Отсутствие уведомлений о важных действиях пользователя.
  • Утечка конфиденциальных маркеров (например, маркера сброса пароля) доверенным третьим лицам по защищенному соединению (HTTPS).
  • Проблемы, никак не связанные с безопасностью (если вы обнаружите проблемы, не связанные с безопасностью, направляйте их в техническую поддержку https://help.okko.tv/).
  • Отсутствие механизма защиты или лучших практик без демонстрации реального влияния на безопасность пользователя или системы (такие отчеты принимаются как информативные), например: отсутствие HTTP-заголовков безопасности (CSP, HSTS и т. д.), флагов безопасности cookie (HttpOnly, Secure и т. д.) или защиты от CSRF, SSL-сертификатов.
  • Авторизацию используя метод перебора Device ID.
  • Уязвимости, связанные с PIN-кодом, который можно включить в настройках в разделе "защита детей".
  • Отчеты, связанные с telegram-ботом, использующимся для обеления трафика.
  • Уязвимости, связанные с обходом механизма защиты DRM (Digital Rights Management).
  • Отчеты, связанные с RSA ключом в функции get_cookie_spsc_encrypted_part(), будут переведены в статус "Отклонен" при отсутствии в них примеров эксплуатации каких-либо уязвимостей.
 

Публичное раскрытие информации об уязвимости

Публичное раскрытие по взаимному соглашению. Okko обязуется открыто общаться с исследователями о сроках раскрытия информации. Стороны могут выбрать время, в которое будет обнародовано содержание отчета.
 

Недопустимые действия

Исследователям запрещено:
  • Получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
  • Воздействовать на учетные записи других пользователей без их разрешения.
  • Использовать обнаруженную уязвимость в личных целях.
  • Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
  • Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Okko, которая проведет атаку в тестовой среде.
  • Проводить физические атаки на персонал, дата-центры и офисы компании.
  • Проводить атаки на системы Okko с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам.
  • Исследовать серверную инфраструктуру, где размещены веб-приложения.
  • Разглашать сведения об уязвимости до их публичного раскрытия.
Запущена 2 апреля, 14:37
Изменена Вчера, 12:12
Формат программы
По уязвимостям
Награда за уязвимости
до 500K ₽
Статистика по программе
1 311 000 ₽
Всего выплачено
35 432 ₽
Средняя выплата
963 000 ₽
Выплачено за последние 90 дней
84
Всего отчетов принято
96
Всего отчетов сдано
Описание
Уязвимости
Рейтинг
Версии