avatar

Positive bug hunting

Компания — Positive Technologies

Positive Technologies предлагает найти уязвимости в ее IT-системах и сервисах.

Описание программы

Positive Technologies непрерывно работает над созданием продуктов, которым доверяют компании со всего мира. Наш опыт показывает, что абсолютно безопасных систем не существует, — именно поэтому мы разместили программу вознаграждения за найденные в наших сервисах уязвимости.

Скоуп

В конкурсе участвуют только указанные домены. Все остальные поддомены, домены второго и третьего уровня не входят в скоуп.

Примечание. Если вы обнаружили уязвимость, не касающуюся перечисленных выше ресурсов, просим вас также сообщить нам о ней. Наша
команда по безопасности изучит ваш отчет и устранит проблему.

Требования к участникам

  1. Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
  2. Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.
  3. Сотрудники Positive Technologies не могут участвовать в программе.

Исследователям необходимо:

  1. Соблюдать правила, которые устанавливает Positive Technologies в своей программе по раскрытию уязвимостей, а также правила платформы The Standoff 365 Bug Bounty.
  2. Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
  3. Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут
    вопросы об отчете.
  4. Не разглашать информацию об уязвимости раньше срока. Рекомендуется оперативно сообщать о выявленной уязвимости. Запрещено разглашать сведения об уязвимости до их публичного раскрытия Positive Technologies или до истечения установленного срока.

Обязанности Positive Technologies

Positive Technologies обязуется:

  1. Отдавать приоритет задачам безопасности, оперативно подходить к устранению обнаруженных уязвимостей.
  2. Уважать исследователей, не препятствовать раскрытию информации об отчете без четких на то оснований.
  3. Не выдвигать исследователям необоснованные обвинения, связанные с участием в конкурсе.

Публичное раскрытие информации об уязвимости

Публичное раскрытие по умолчанию. Если ни одна из сторон не возражает, содержание отчета будет обнародовано в течение 60 дней.

 

Публичное раскрытие по взаимному соглашению. Positive Technologies будет открыто общаться с исследователями о сроках раскрытия информации. Стороны могут выбрать время, в которое будет обнародовано содержание отчета.

 

Публичное раскрытие для защиты пользователей продукта. Обнаруженную уязвимость могут активно использовать злоумышленники, или, например, в будущем эта уязвимость неминуемо нанесет вред пользователям. Поэтому при наличии доказательств компания может немедленно предоставить общественности сведения о проблеме, чтобы пользователи приняли защитные меры.

 

Увеличение сроков публичного раскрытия. Для устранения некоторых уязвимостей может потребоваться более 60 дней. В этих случаях содержание отчета может оставаться закрытым, чтобы у Positive
Technologies было достаточно времени для решения проблемы безопасности.

 

Недопустимые действия

Исследователям запрещено:

  • Воздействовать на учетные записи других пользователей без их разрешения.
  • Использовать обнаруженную уязвимость в личных целях.
  • Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
  • Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки и т. д.), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Positive Technologies, которая проведет атаку в тестовой среде.
  • Проводить физические атаки на персонал, дата-центры и офисы компании.
  • Проводить атаки на системы Positive Technologies с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам.
  • Исследовать серверную инфраструктуру, где размещены веб-приложения.

Вознаграждения за уязвимости

УязвимостьВознаграждение
---
Удаленное выполнение кода (RCE)100 000 — 400 000 ₽
Доступ к локальным файлам или их модификация (LFR, RFI, XXE)50 000 — 250 000 ₽
Внедрение (внедрение SQL-кода или его аналоги)50 000 — 250 000 ₽
Обход аутентификации интерфейса администрирования25 000 — 125 000 ₽
Подмена запросов на стороне сервера (SSRF, не вслепую)50 000 — 100 000 ₽

 

Размер вознаграждения за уязвимости, найденные в используемом компанией
ПО сторонних производителей (например, CMS), оценивается по минимальной
границе, но может быть увеличен по решению конкурсной комиссии. Все
остальные уязвимости, не указанные в таблице, могут быть оплачены по
решению комиссии в зависимости от их уровня опасности (но вознаграждение
не гарантируется).

Positive Technologies не выплачивает вознаграждение:

  • за отчеты сканеров безопасности и других автоматизированных инструментов;
  • раскрытие несекретной информации (наименования ПО или его версии);
  • информацию об IP-адресах, DNS-записях и открытых портах;
  • проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
  • уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
  • отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
  • отчеты об отсутствии SSL и других лучших практик (best current practices);
  • уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
  • уязвимости 0-day или 1-day, информация о которых получена командой по безопасности из открытых источников.

Требования к оформлению отчета

Отчет об уязвимости должен содержать:

  • Название уязвимости.
  • Название продукта и версию затрагиваемого ПО (компонента).
  • Проверку концепции (proof of concept) или подробное описание обнаруженной уязвимости и шагов по ее воспроизведению.
  • Описание сценария атаки: кто может использовать уязвимость, для какой выгоды, как она эксплуатируется и т. д.
  • Рекомендации по устранению уязвимости.

 

Видео и скриншоты могут быть приложены к отчету об ошибке, но не могут его заменить.

Если при исследовании сервисов компании вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.

Передача информации об обнаруженной уязвимости происходит согласно правилам платформы.

Запущена 19 мая 2022
Изменена 20 ноября 2023
Формат программы
По уязвимостям
Награда за уязвимости
по уровню опасности
Критический
100K–400K ₽
Высокий
50K–250K ₽
Средний
25K–50K ₽
Низкий
0–10K ₽
Отсутствует
0–0 ₽
Статистика по программе
180 768 ₽
Всего выплачено
11 298 ₽
Средняя выплата
30 000 ₽
Выплачено за последние 90 дней
23
Всего отчетов принято
52
Всего отчетов сдано
Описание
Уязвимости
Рейтинг