Wildberries

Добро пожаловать в баг-баунти программу Wildberries! Если у вас есть информация, связанная с недостатками безопасности в наших продуктах, сообщите ее нам в соответствии с нижеперечисленными правилами. Мы будем благодарны каждому, кто обнаружит уязвимости в системах Wildberries и вместе с нами сделает их более безопасными.

Общие правила

Участвовать в программе могут только физические лица, зарегистрированные в качестве индивидуальных предпринимателей или применяющие специальный налоговый режим «налог на профессиональный доход». В программе не могут участвовать сотрудники Wildberries или компаний-партнеров. Участники обязаны соблюдать конфиденциальность в отношении информации об уязвимостях. Разглашение данной информации допускается только по предварительному согласованию с Wildberries.

Область действия

Уязвимости можно искать на всех наших ресурсах: *.wildberries.ru, *.wb.ru, *.paywb.com, *.paywb.ru, *.wb-bank.ru. Однако максимальные выплаты предусмотрены только за обнаружение проблем на нижеперечисленных ресурсах (далее – Основной скоуп):

1. Маркетплейс:
   1. Web - www.wildberries.ru, global.wildberries.ru
   2. iOS - https://apps.apple.com/ru/app/wildberries/id597880187
   3. Android - https://play.google.com/store/apps/details?id=com.wildberries.ru
2. Портал продавцов:
   1. Web - seller.wildberries.ru, cmp.wildberries.ru
   2. iOS - https://apps.apple.com/ru/app/wb-партнёры/id1466739454
   3. Android - https://play.google.com/store/apps/details?id=com.wildberries.portal
3. Портал “Всем Работа”:
   1. Web - executors.vsemrabota.ru
4. Платежный шлюз:
   1. Web - alpha.paywb.com, beta.paywb.com
5. Balance Pay:
   1. iOS - https://apps.apple.com/ru/app/balance-pay/id6443484009
   2. Android – https://play.google.com/store/apps/details?id=ru.wildberries.wbpayclient

При обнаружении недостатков безопасности на иных ресурсах Wildberries (далее – Дополнительный скоуп) размер вознаграждения определяется в меньшем объеме в соответствии с уровнем критичности обнаруженной проблемы и ее характером.

В объем ресурсов для тестирования (за успешное тестирование которых установлено вознаграждение) не входят следующие ресурсы:

• https://vmeste.wildberries.ru/rail
• https://vmeste.wildberries.ru/bus
• https://vmeste.wildberries.ru/ammp
• https://vmeste-hotels.wildberries.ru
• https://vmeste-tours.wildberries.ru

Особые сценарии для тестирования

Мы выделили несколько отдельных сценариев, за выполнение которых можно получить повышенные выплаты. На текущий момент доступен кейс для портала продавцов.

Предлагается получить полный доступ к личному кабинету тестового продавца - https://www.wildberries.ru/seller/3941172. К ЛК привязан номер телефона +7(993)965-09-70.
В случае реализации данного сценария мы готовы выплатить сумму в размере 500 000 рублей.

Критерии выполнения сценария:

• Получен полный доступ без каких либо ограничений к функциональности ЛК тестового продавца
• Составлено подробное описание шагов реализации
• В отчете предоставлен флаг из неопубликованной карточки товара ("товары" - "карточки товаров - "товар с тэгов flag")
• В отчете предоставлены доказательства удаления существующей карточки товара (https://www.wildberries.ru/catalog/190622575/detail.aspx)

Правила тестирования

1. Допускается использование только собственных учетных записей либо учетных записей пользователей, которые явно выразили свое согласие на такие действия в целях участия в программе.
2. Запрещается получать доступ к аккаунтам третьих лиц или любой конфиденциальной информации.
3. Запрещается любая деятельность, которая может нанести ущерб сервисам Wildberries, ее инфраструктуре, клиентам и партнерам. К числу запрещенных действий, в том числе, относятся: социальная инженерия, фишинг, атаки типа «отказ в обслуживании», физическое воздействие на инфраструктуру.
4. Для подтверждения наличия уязвимости необходимо использовать минимально возможный POC (Proof of Concept). В случае, если это может повлиять на других пользователей или же работоспособность системы, участник должен связаться с Wildberries для получения разрешения. Дальнейшая эксплуатация уязвимостей строго запрещена.
5. Автоматическое сканирование должно быть ограничено 10 запросами в секунду.

Исключения из программы

Мы принимаем только те отчеты, которые содержат информацию о реальных проблемах безопасности. Ниже приведены примеры, которые являются исключениями из нашей программы и не рассматриваются как валидные уязвимости.

Общие исключения:

• Проблемы и ошибки, несвязанные с безопасностью
• Маловероятные или теоретические атаки без доказательств возможности их осуществления
• Раскрытие публичной пользовательской информации
• Использование устаревшего или потенциально уязвимого ПО
• Фишинг, социальная инженерия и сценарии, требующие физического доступа к жертве
• Разглашение технической или нечувствительной информации (например, версии продукта или используемого ПО)
• Необработанные отчеты сканеров уязвимостей и других автоматизированных средств

Исключения для веб-приложений:

• Clickjacking
• Атаки типа DOS
• Атаки типа User Enumeration
• Open Redirect без дополнительного вектора атаки (например, кражи токена авторизации)
• Отсутствие рекомендованных механизмов защиты (например, HTTP заголовков безопасности, флагов безопасности cookie или защиты от CSRF)
• Небезопасно сконфигурированные TLS или SSL
• Уязвимости, затрагивающие только тех пользователей, которые используют необновленные версии браузеров

 
Исключения для мобильных приложений:

• Возможность обратной разработки мобильных приложений
• Отсутствие реакции со стороны мобильного приложения на устройство с root правами или jailbreak
• Отсутствие SSL-пиннинга сертификатов или ключей
• Отсутствие защитных флагов нативных библиотек
• Уязвимости, необходимым условием эксплуатации которых является наличие вредоносного ПО, root прав или jailbreak на устройстве
• Атаки, требующие MITM чужого соединения или физической близости с чужим устройством (например, атаки через NFC, Bluetooth или Wi-Fi)

Требования к отчетам

Отчет должен содержать описание одной уязвимости или цепочки связанных уязвимостей и должен включать в себя:

• Описание уязвимости
• Шаги воспроизведения
• Анализ критичности

В отчете также должны содержаться:

• URL уязвимого приложения
• Тип обнаруженной уязвимости
• Скриншоты или видеозаписи, подтверждающие наличие уязвимости и демонстрирующие шаги воспроизведения

Несоблюдение минимальных требований может привести к снижению суммы вознаграждения. Если в отчете недостаточно данных, чтобы проверить наличие уязвимости, выплата вознаграждения не осуществляется.

Работа с дубликатами

Мы выплачиваем вознаграждение только за первый полученный отчет (при условии, что он содержит всю необходимую информацию для воспроизведения уязвимости). Любые последующие отчеты, затрагивающие ту же уязвимость, будут помечены как дублирующие. Отчеты, содержащие схожие векторы атак также могут считаться дублирующими, в случае если команда безопасности считает, что информации из одного отчета достаточно для исправления всех зарегистрированных ошибок. Отчет может быть дубликатом отчета другого исследователя или отчета внутренней команды безопасности.

Общедоступные 0-day или 1-day уязвимости могут рассматриваться как дубликаты, если они известны нашей команде из общедоступных источников.

Размеры вознаграждений

Вознаграждение выплачивается участникам только в случае обнаружения ранее неизвестных компании проблем безопасности и при соблюдении всех указанных в программе условий. Ниже приведена таблица с сопоставлением уровня критичности и размером вознаграждения:

Размер вознаграждения определяется Wildberries индивидуально в каждом конкретном случае с учетом изложенных в программе критериев и в указанном диапазоне.

Примеры вознаграждений