Ozon - одна из крупнейших российских платформ электронной коммерции. В инфраструктуре OZON функционирует большое количество разнообразных сервисов, которые мы хотим сделать безопаснее. Помочь нам с этим может любой исследователь безопасности, поучаствовав в нашей багбаунти-программе. Мы будем рады и благодарны всем участникам. Вы можете присылать нам отчеты на английском или русском языках.
www.ozon.ru
В область действия программы входят:
А также мобильные приложения:
При написании отчёта следуйте данным рекомендациям:
Не разглашайте никакой информации об отчёте, не получив явного согласия на это от нашей службы информационной безопасности.
Запрещены следующие виды деятельности:
Составляя отчет, описывайте сценарий атаки/эксплуатации уязвимости и её влияние на безопасность. Следующие уязвимости находятся вне области тестирования:
Все активы из области тестирования доступны публично. Учетные данные могут быть получены самостоятельно при необходимости в соответствии с юридическими документами Ozon, которые устанавливают правила и порядок регистрации в Продукте.
Действия исследователей, осуществляемые в соответствии с условиями настоящей Bug Bounty-программы, будут считаться санкционированным Ozon поведением, и мы не будем инициировать против вас судебные разбирательства, обращаться в правоохранительные органы или иным образом пытаться привлечь вас к юридической ответственности.
Если нам станет известно, что третьи лица предпринимают в отношении вас вышеуказанные действия, мы приложим разумные усилия, чтобы сообщить таким лицам, что ваши действия как исследователя соответствуют условиям программы, и поэтому мы не имеем к вам претензий.
Обратите внимание, что вышеуказанные гарантии безопасности действуют только в том случае, если вы неукоснительно соблюдаете условия настоящей Bug Bounty-программы. При возникновении правомерности ваших действий с точки зрения условий программы напишите нам - и мы обязательно вас проконсультируем.
Спасибо вам за помощь в обеспечении безопасности Ozon и наших пользователей!
По общему правилу, от уровня опасности обнаруженной уязвимости зависит размер вознаграждения, которое вы можете получить как исследователь. Однако в ряде случаев (по решению Ozon) такой размер может быть изменен в большую или меньшую сторону: например, выплата может быть увеличена в случае предоставления информации об уникальных, тяжелоисследуемых ошибках, а уменьшена - в случае предоставления информации об уязвимостях, требующих большого числа специфичных условий для выполнения или с малым риском от эксплуатации этой уязвимости.
Для того, чтобы претендовать на получение вознаграждения за обнаруженную уязвимость, вам необходимо предоставить Ozon отчет по такой уязвимости, используя соответствующий интерфейс платформы Standoff 365 Bug Bounty. Под отчетом понимается подробное описание вами как исследователем конкретной уязвимости, выявленной в продукте Ozon, и он должен обязательно содержать инструкцию по устранению уязвимости или описание ее исправления. При этом не подлежат рассмотрению отчеты, в которых содержатся неверифицируемые (т.е. не подлежащие эмпирической проверке) гипотезы, не основанные на фактических обстоятельствах утверждения, или такие способы устранения уязвимостей, реализация которых требует неоправданно существенных затрат, и т.д.
После получения отчета Ozon проверяет его соответствие требованиям и условиям настоящей багбаунти-программы, релевантность заявленной уязвимости, оценивает уровень ее опасности и предложенные исследователем меры по устранению такой уязвимости, после чего принимает итоговое решение о размере подлежащего выплате вознаграждения.
Обратите внимание, что Ozon не устанавливает каких-либо иных требований и условий для получения вознаграждения, кроме предусмотренных настоящей багбаунти-программой, а также не осуществляет непосредственную выплату такого вознаграждения - данные действия осуществляются исключительно партнером Ozon и владельцем платформы Standoff 365 Bug Bounty - АО «Позитивные Технологии» (107061, Россия, г. Москва, вн.тер.г. муниципальный округ Преображенское, Преображенская пл., д. 8, помещ. 60, ОГРН 1127746201087). Это значит, что по всем вопросам относительно получения вознаграждения вам необходимо обращаться напрямую к такому лицу, которое в зависимости от обстоятельств, существующих между вами правоотношений и положений применимого законодательства может устанавливать дополнительные требования и условия для получения вознаграждения (например, запрашивая у вас банковские реквизиты).
К участию в настоящей багбаунти-программе не допускаются действующие работники Ozon и/или аффилированных с Ozon лиц, равно как лица, оказывающие услуги/выполняющие работы и т.д. для Ozon и/или аффилированных с Ozon лиц на основании соответствующих гражданско-правовых договоров. Указанные ограничения сохраняются для таких лиц еще в течение 1 года с момента прекращениях их отношений с Ozon и/или аффилированных с Ozon лицами.
Ozon может изменить условия настоящей программы, в том числе прекратить ее действие, в любой момент в одностороннем порядке по своему усмотрению без специального уведомления. При этом изменения вступают в силу с момента размещения обновленной редакции на платформе Standoff 365 Bug.
Нарушение исследователем каких-либо положений настоящей багбаунти-программы является безусловным основанием для прекращения его участие в программе и для отказа в выплате ему вознаграждение.