Ozon

Принимаемые языки:

• Английский
• Русский

Правила программы

 

Область действия программы

В область действия программы входят:

• www.ozon.ru — витрина покупателя;
• seller.ozon.ru — личный кабинет продавца;
• id.ozon.ru — сервис аутентификации и SSO;
• *.finance.ozon.ru — все домены и поддомены «Ozon Банка»;
• job.ozon.ru — портал с вакансиями;
• job-api.ozon.ru — API для портала с вакансиями;
• api-seller.ozon.ru — API для селлера,

• pvz.ozon-dostavka.ru — инструмент управления заказами и пунктами выдачи,
• chatzone.o3team.ru — корпоративный мессенджер (десктоп-версия и мобильные приложения),
• performance.ozon.ru — рекламный кабинет продавца,
• dev.ozon.ru — ресурс для разработчиков, использующих публичные API Ozon.

А также мобильные приложения:

• Приложение покупателя (Android, iOS);
• Приложение продавца (Android, iOS);
• Приложение банка (Android, iOS)
• Приложение сотрудника ПВЗ (Android, iOS)
• Корпоративный мессенджер — лендинг с информацией о всех приложениях, входящих в область действия багбаунти-программы

Общее

При написании отчёта следуйте данным рекомендациям:

• отчёт должен содержать полное описание по воспроизведению описанной уязвимости;
• один отчёт должен содержать описание одной уязвимости, за исключением уязвимостей с одинаковой причиной возникновения;
• при возникновении дубликатов вознаграждение получает только первый полученный отчёт (при условии, что он может быть полностью воспроизведен);
• за обнаружение нескольких уязвимостей с общей причиной возникновения вознаграждение выплачивается единоразово.
• избегайте нарушения конфиденциальности, уничтожения данных, а также прерывания или ухудшения качества процессов нашего бизнеса. Взаимодействуйте только с вашими собственными учётными записями или теми записями, на использование которых вы получили явное разрешение их владельцев;
• используйте свои собственные учётные записи для проведения вашего исследования. Не пытайтесь получить доступ к чужим учетным записям или какой-либо конфиденциальной информации;
• при тестировании используйте минимально возможный PoC («Proof of concept») для проверки уязвимости; в случаях, когда это может повлиять на системы или пользователей, сначала обратитесь к нам. В любом случае, не нарушайте работу системы и не оставляйте её в более уязвимом состоянии, чем перед началом вашего исследования.

Политика раскрытия информации об уязвимостях

Не разглашайте никакой информации об отчёте, не получив явного согласия на это от нашей службы информационной безопасности.

Запрещённые способы исследования

Запрещены следующие виды деятельности:

• использование уязвимостей более, чем необходимо для доказательства их существования;
• выполнение действий, которые могут негативно повлиять на Ozon или его клиентов (например, спам, brute-force, атаки вида «Отказ в обслуживании»);
• проведение любого вида физической воздействия на персонал, имущество или центры обработки данных Ozon.
• социальная инженерия по отношению к сотрудникам Ozon, подрядчикам или пользователям;
• сканирование с использованием автоматических инструментов запрещено. В связи с характером нашего сервиса электронной коммерции не используйте автоматические сканеры без узкой области применения. Автоматические сканеры, запущенные на весь сайт, могут привести к появлению спама в комментариях, а также к покупке товаров;
• перебор имён пользователей через сброс логина или пароля;
• перебор кодов приглашения/промо-акции и подарочной карты.

 

Уязвимости вне области тестирования

Составляя отчет, описывайте сценарий атаки/эксплуатации уязвимости и её влияние на безопасность. Следующие уязвимости находятся вне области тестирования:

• нетехнические уязвимости (например, мошенничество);
• теоретические атаки без доказательств возможности эксплуатации;
• clickjacking;
• Self-XSS;
• атаки, требующие MITM или физического доступа к устройству пользователя;
• отчёт об использовании уязвимой библиотеки без доказателсьтва влияния;
• Comma Separated Values (CSV) инъекции без демонстрации уязвимости;
• невыполнение лучших практик при настройке SSL/TLS-коммуникаций;
• раскрытие ограниченных в возможностях API-ключей в JS-коде;
• XSS на наших CDN-доменах (*.ozone.ru), если не будет доказано, что XSS работает в контексте *.ozon.ru;
• любая деятельность, которая может привести к DOS (отказу в обслуживании);
• уязвимости с подменой контента и внедрением текста без отображения вектора атаки/без возможности изменения HTML/CSS;
• rate-limit уязвимости или bruteforce-атаки на ресурсах без аутентификации;
• невыполнение лучших практик в Content Security Policy;
• отсутствие флагов безопасности на Cookie;
• неследование лучшим практикам при настройке электронных почтовых ящиков (некорректная, неполная или отсутствующие SPF/DKIM/DMARC-записи или др.);
• уязвимости, затрагивающие только пользователей, использующих необновленные версии браузеров;
• раскрытие версий программного обеспечения, отображение описания ошибки, stacktrace и прочее;
• награда за публичные Zero-day уязвимости, которые были исправлены не менее, чем 1 месяц назад, будет рассматриваться индивидуально в каждом конкретном случае;
• tabnabbing;
• open redirect - если не будет продемонстрировано влияние на безопасность;
• уязвимости, требующие активного пользовательского взаимодействия;
• спам при помощи OTP, email-сообщений или иных средств коммуникации;
• DNS Lookup (External service interaction).

Уязвимости вне области тестирования для мобильных приложений

• Возможность декомпиляции/реверса мобильного приложения, Frida-инъекции, изменения кода;
• отсутствие ограничений в работе мобильного приложения устройстве с root/jailbreak;
• уязвимости, которые применимы только на устройствах с root/jailbreak/включенным режимом разработчика;
• фишинг, социальная инженерия и сценарии, требующие физического доступа к атакуемому устройству;
• запрос избыточных разрешений;
• tapjacking;
• скриншоты с чувствительной информацией из приложения;
• отсутствие SSL-пиннинга сертификатов/ключей;
• отсутствие защитных флагов нативных библиотек, таких как Stack Canary;
• раскрытие нечувствительной информации на устройстве;
• уязвимости в зависимостях без явного влияния на безопасность целевого приложения;
• не считается уязвимостью наличие экспортируемых activity, reciever, service, если это не приводит к неавторизованному доступу к данным приложения или его функциям;
• раскрытие API-ключей, которые не приводят к утечке пользовательских данных или не приводят к финансовому ущербу компании;
• использование «слабой» криптографии/мер защиты для обфускации приложения и данных во внутреннем хранилище приложения.

 

Доступы и учётные данные

Все активы из области тестирования доступны публично. Учетные данные могут быть получены самостоятельно при необходимости в соответствии с юридическими документами Ozon, которые устанавливают правила и порядок регистрации в Продукте.

 

Гарантии безопасности

Действия исследователей, осуществляемые в соответствии с условиями настоящей Bug Bounty-программы, будут считаться санкционированным Ozon поведением, и мы не будем инициировать против вас судебные разбирательства, обращаться в правоохранительные органы или иным образом пытаться привлечь вас к юридической ответственности.

Если нам станет известно, что третьи лица предпринимают в отношении вас вышеуказанные действия, мы приложим разумные усилия, чтобы сообщить таким лицам, что ваши действия как исследователя соответствуют условиям программы, и поэтому мы не имеем к вам претензий.

Обратите внимание, что вышеуказанные гарантии безопасности действуют только в том случае, если вы неукоснительно соблюдаете условия настоящей Bug Bounty-программы. При возникновении правомерности ваших действий с точки зрения условий программы напишите нам - и мы обязательно вас проконсультируем.

Спасибо вам за помощь в обеспечении безопасности Ozon и наших пользователей!

Вознаграждение для исследователей и юридические условия

По общему правилу, от уровня опасности обнаруженной уязвимости зависит размер вознаграждения, которое вы можете получить как исследователь. Однако в ряде случаев (по решению Ozon) такой размер может быть изменен в большую или меньшую сторону: например, выплата может быть увеличена в случае предоставления информации об уникальных, тяжелоисследуемых ошибках, а уменьшена - в случае предоставления информации об уязвимостях, требующих большого числа специфичных условий для выполнения или с малым риском от эксплуатации этой уязвимости.

Для того, чтобы претендовать на получение вознаграждения за обнаруженную уязвимость, вам необходимо предоставить Ozon отчет по такой уязвимости, используя соответствующий интерфейс платформы Standoff 365 Bug Bounty. Под отчетом понимается подробное описание вами как исследователем конкретной уязвимости, выявленной в продукте Ozon, и он должен обязательно содержать инструкцию по устранению уязвимости или описание ее исправления. При этом не подлежат рассмотрению отчеты, в которых содержатся неверифицируемые (т.е. не подлежащие эмпирической проверке) гипотезы, не основанные на фактических обстоятельствах утверждения, или такие способы устранения уязвимостей, реализация которых требует неоправданно существенных затрат, и т.д.

После получения отчета Ozon проверяет его соответствие требованиям и условиям настоящей багбаунти-программы, релевантность заявленной уязвимости, оценивает уровень ее опасности и предложенные исследователем меры по устранению такой уязвимости, после чего принимает итоговое решение о размере подлежащего выплате вознаграждения.

Обратите внимание, что Ozon не устанавливает каких-либо иных требований и условий для получения вознаграждения, кроме предусмотренных настоящей багбаунти-программой, а также не осуществляет непосредственную выплату такого вознаграждения - данные действия осуществляются исключительно партнером Ozon и владельцем платформы Standoff 365 Bug Bounty - АО «Позитивные Технологии» (107061, Россия, г. Москва, вн.тер.г. муниципальный округ Преображенское, Преображенская пл., д. 8, помещ. 60, ОГРН 1127746201087). Это значит, что по всем вопросам относительно получения вознаграждения вам необходимо обращаться напрямую к такому лицу, которое в зависимости от обстоятельств, существующих между вами правоотношений и положений применимого законодательства может устанавливать дополнительные требования и условия для получения вознаграждения (например, запрашивая у вас банковские реквизиты).

К участию в настоящей багбаунти-программе не допускаются действующие работники Ozon и/или аффилированных с Ozon лиц, равно как лица, оказывающие услуги/выполняющие работы и т.д. для Ozon и/или аффилированных с Ozon лиц на основании соответствующих гражданско-правовых договоров. Указанные ограничения сохраняются для таких лиц еще в течение 1 года с момента прекращениях их отношений с Ozon и/или аффилированных с Ozon лицами.

Ozon может изменить условия настоящей программы, в том числе прекратить ее действие, в любой момент в одностороннем порядке по своему усмотрению без специального уведомления. При этом изменения вступают в силу с момента размещения обновленной редакции на платформе Standoff 365 Bug.

Нарушение исследователем каких-либо положений настоящей багбаунти-программы является безусловным основанием для прекращения его участие в программе и для отказа в выплате ему вознаграждение.