PT Cloud

Компания — Positive Technologies

Экосистема облачных продуктов для кибер-безопасности от Positive Technologies

Описание программы

Positive Technologies непрерывно работает над созданием продуктов, которым доверяют компании со всего мира. Наш опыт показывает, что абсолютно безопасных систем не существует. Именно поэтому мы разместили программу вознаграждения за найденные в наших сервисах уязвимости.

Эта программа действует с 20 декабря 2023 года по 20 января 2024 года

Скоуп

  • любые ресурсы в домене ptcloud.ru и его поддоменах любого уровня

Примечание. Если вы обнаружили уязвимость, не касающуюся перечисленных выше ресурсов, просим вас также сообщить нам о ней. Наша команда по безопасности изучит ваш отчет и устранит проблему.

Требования к участникам

  1. Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
  2. Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.
  3. Сотрудники Positive Technologies не могут участвовать в программе.

Исследователям необходимо:

  1. Соблюдать правила, которые устанавливает Positive Technologies в своей программе по раскрытию уязвимостей, а также правила платформы The Standoff 365 Bug Bounty.
  2. Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
  3. Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут
    вопросы об отчете.
  4. Не разглашать информацию об уязвимости раньше срока. Рекомендуется оперативно сообщать о выявленной уязвимости. Запрещено разглашать сведения об уязвимости до их публичного раскрытия Positive Technologies или до истечения установленного срока.

Обязанности Positive Technologies

Positive Technologies обязуется:

  1. Отдавать приоритет задачам безопасности, оперативно подходить к устранению обнаруженных уязвимостей.
  2. Уважать исследователей, не препятствовать раскрытию информации об отчете без четких на то оснований.
  3. Не выдвигать исследователям необоснованные обвинения, связанные с участием в конкурсе.

 

Публичное раскрытие информации об уязвимости

Публичное раскрытие по умолчанию. Если ни одна из сторон не возражает, содержание отчета будет обнародовано в течение 60 дней.

 
Публичное раскрытие по взаимному соглашению. Positive Technologies будет открыто общаться с исследователями о сроках раскрытия информации. Стороны могут выбрать время, в которое будет обнародовано содержание отчета.

 
Публичное раскрытие для защиты пользователей продукта. Обнаруженную уязвимость могут активно использовать злоумышленники, или, например, в будущем эта уязвимость неминуемо нанесет вред пользователям. Поэтому при наличии доказательств компания может немедленно предоставить общественности сведения о проблеме, чтобы пользователи приняли защитные меры.

 
Увеличение сроков публичного раскрытия. Для устранения некоторых уязвимостей может потребоваться более 60 дней. В этих случаях содержание отчета может оставаться закрытым, чтобы у Positive Technologies было достаточно времени для решения проблемы безопасности.

Недопустимые действия

Исследователям запрещено:

  • Воздействовать на учетные записи других пользователей без их разрешения.
  • Использовать обнаруженную уязвимость в личных целях.
  • Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
  • Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки и т. д.), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Positive Technologies, которая проведет атаку в тестовой среде.
  • Проводить физические атаки на персонал, дата-центры и офисы компании.
  • Проводить атаки на системы Positive Technologies с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам.
  • Исследовать серверную инфраструктуру, где размещены веб-приложения.

Вознаграждения за уязвимости

Ниже приведены примеры уязвимостей, за которые мы с радостью выплатим вознаграждение:

  • Удаленное исполнение кода (RCE)
  • Инъекции (например, SQL-инъекции или XML-инъекции)
  • Чтение или запись произвольных файлов, LFI/RFI
  • Недостатки аутентификации/авторизации
  • Уязвимости контроля доступа
  • Уязвимости бизнес-логики
  • IDOR
  • Раскрытие чувствительной информации
  • SSRF (кроме слепых)

 
Размер вознаграждения за уязвимости, найденные в используемом компанией ПО сторонних производителей (например, opensource-библиотеках), оценивается по минимальной границе, но может быть увеличен по решению конкурсной комиссии. Все остальные уязвимости, не указанные в списке, могут быть оплачены по решению комиссии в зависимости от их уровня опасности (но вознаграждение не гарантируется).

Positive Technologies не выплачивает вознаграждение:

  • за отчеты сканеров безопасности и других автоматизированных инструментов;
  • раскрытие несекретной информации (наименования ПО или его версии, технические параметры и метрики системы и пр.);
  • информацию об IP-адресах, DNS-записях и открытых портах;
  • проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
  • уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
  • отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
  • отчеты об отсутствии SSL и других лучших практик (best current practices);
  • уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
  • уязвимости 0-day или 1-day, информация о которых получена командой по безопасности из открытых источников
  • уязвимости к атаке перебором, если в отчете не описан метод, имеющий существенно более высокую эффективность, чем прямой перебор

Требования к оформлению отчета

Отчет об уязвимости должен содержать:

  • Название уязвимости.
  • Название продукта и версию затрагиваемого ПО (компонента).
  • Проверку концепции (proof of concept) или подробное описание обнаруженной уязвимости и шагов по ее воспроизведению.
  • Описание сценария атаки: кто может использовать уязвимость, для какой выгоды, как она эксплуатируется и т. д.
  • Рекомендации по устранению уязвимости.

 

Видео и скриншоты могут быть приложены к отчету об ошибке, но не могут его заменить.

Если при исследовании сервисов компании вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.

Передача информации об обнаруженной уязвимости происходит согласно правилам платформы.

Запущена 20 декабря 2023
Изменена 2 апреля, 13:27
Формат программы
По уязвимостям
Награда за уязвимости
по уровню опасности
Критический
100K–500K ₽
Высокий
50K–200K ₽
Средний
25K–50K ₽
Низкий
0–10K ₽
Отсутствует
0–0 ₽
Топ-хакеры
Общий рейтинг
Баллы
Статистика по программе
85 000 ₽
Всего выплачено
28 333 ₽
Средняя выплата
75 000 ₽
Выплачено за последние 90 дней
22
Всего отчетов принято
30
Всего отчетов сдано
Описание
Уязвимости
Рейтинг