Positive Technologies непрерывно работает над созданием продуктов, которым доверяют компании со всего мира.
Наш опыт показывает, что абсолютно безопасных систем не существует. Именно поэтому мы разместили программу вознаграждения за найденные в наших сервисах уязвимости.
Один из продуктов нашей комании - PT Sandbox - программный комплекс, предназначенный для проверки файлов и электронных писем на предмет выявления угроз информационной безопасности.
Описание программы

Задача

PT Sandbox защищает корпоративную почту. Исследование проводится методом черного ящика.

Скоуп

185.71.53.245:5555
Для PT Sandbox доступна документация https://help.ptsecurity.com/ru-RU/projects/sb/5.16/admin/5750993291
Примечание: Если вы обнаружили уязвимость, не касающуюся перечисленных выше ресурсов, просим вас также сообщить нам о ней. Наша команда по безопасности изучит ваш отчет и устранит проблему.

Требования к участникам

  1. Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
  2. Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.
Исследователям необходимо:
  1. Соблюдать правила, которые устанавливает Positive Technologies в своей программе по раскрытию уязвимостей, а также правила платформы The Standoff 365 Bug Bounty.
  2. Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
  3. Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут
    вопросы об отчете.
  4. Не разглашать информацию об уязвимости. Право на публикацию информации о найденной уязвимости остается за Positive Technologies.

Обязанности Positive Technologies

Positive Technologies обязуется:
  1. Отдавать приоритет задачам безопасности, оперативно подходить к устранению обнаруженных уязвимостей.
  2. Уважать исследователей, не препятствовать раскрытию информации об отчете без четких на то оснований.
  3. Не выдвигать исследователям необоснованные обвинения, связанные с участием в конкурсе.
  4. Указывать имя исследователя, нашедшего уязвимость, в случае публикации информации о ней.

Недопустимые действия

Исследователям запрещено:
  • Воздействовать на учетные записи других пользователей без их разрешения.
  • Использовать обнаруженную уязвимость в личных целях.
  • Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
  • Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки и т. д.), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Positive Technologies, которая проведет атаку в тестовой среде.
  • Проводить физические атаки на персонал, дата-центры и офисы компании.
  • Проводить атаки на системы Positive Technologies с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам.
  • Исследовать серверную инфраструктуру, где размещены веб-приложения.

Вознаграждения за уязвимости

Вознаграждаются только высокие и критические уязвимости серверной стороны. Остальные подтвержденные проблемы будут приняты и исправлены. Client-side уязвимости не оплачиваются.
Размер вознаграждения за уязвимости, найденные в используемом компанией ПО сторонних производителей (например, opensource-библиотеках), оценивается по минимальной границе, но может быть увеличен по решению конкурсной комиссии. Все остальные уязвимости, не указанные в списке, могут быть оплачены по решению комиссии в зависимости от их уровня опасности (но вознаграждение не гарантируется).
Positive Technologies не выплачивает вознаграждение:
  • за отчеты сканеров безопасности и других автоматизированных инструментов;
  • раскрытие несекретной информации (наименования ПО или его версии, технические параметры и метрики системы и пр.);
  • информацию об IP-адресах, DNS-записях и открытых портах;
  • проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
  • уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
  • отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
  • отчеты об отсутствии SSL и других лучших практик (best current practices);
  • уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
  • уязвимости 0-day или 1-day, информация о которых получена командой по безопасности из открытых источников
  • уязвимости к атаке перебором, если в отчете не описан метод, имеющий существенно более высокую эффективность, чем прямой перебор

Требования к оформлению отчета

Отчет об уязвимости должен содержать:
  • Название уязвимости.
  • Название продукта и версию затрагиваемого ПО (компонента).
  • Проверку концепции (proof of concept) или подробное описание обнаруженной уязвимости и шагов по ее воспроизведению.
  • Описание сценария атаки: кто может использовать уязвимость, для какой выгоды, как она эксплуатируется и т. д.
  • Рекомендации по устранению уязвимости.
 
Видео и скриншоты могут быть приложены к отчету об ошибке, но не могут его заменить.
Если при исследовании сервисов компании вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.
Передача информации об обнаруженной уязвимости происходит согласно правилам платформы.
Запущена 29 декабря 2023
Изменена 18 ноября, 08:43
Формат программы
По уязвимостям
Награда за уязвимости
по уровню опасности
Критический
500K–1M ₽
Высокий
200K–500K ₽
Средний
0–0 ₽
Низкий
0–0 ₽
Отсутствует
0–0 ₽
Статистика по программе
50 000 ₽
Всего выплачено
50 000 ₽
Средняя выплата
50 000 ₽
Выплачено за последние 90 дней
2
Всего отчетов принято
2
Всего отчетов сдано
Описание
Уязвимости
Рейтинг
Версии