БКС Брокер
Company: БКС Мир ИнвестицийБКС Мир инвестиций» – финансовый холдинг с 30-летней историей, предоставляющий клиентам максимально широкий спектр брокерских и инвестиционных услуг. Наша программа Bug Bounty создана для сотрудничества с исследователями безопасности с целью выявления и устранения уязвимостей в наших продуктах. Мы гарантируем справедливое вознаграждение за ваши находки и стремимся к прозрачному взаимодействию.
Контакты команды безопасности:
Email: cybersec@bcs.ru
Email: cybersec@bcs.ru
Rewards are paid to individual entrepreneurs and self-employed persons
Program description
В период 12.11.2025 по 30.11.2025 действует промоакция- удвоенные выплаты за валидные уязвимости уровня High и Critical.
Область действия
Основные сервисы
Программа охватывает следующие ключевые продукты БКС Брокер:
БКС Инвестиции (веб и мобильные приложения)
Домены ниже:
Домены ниже:
-
а также *.bcs.ru (за исключением lkbank.bcs.ru)
-
Android: последняя стабильная версия с https://bcs.ru/
-
iOS: последняя стабильная версия с https://bcs.ru/
Исключения из области действия
Не входят в программу:
- Тестовые среды (домены с dev, stage, sandbox, alpha, beta, test, preprod).
- Сторонние сервисы (например, платежные системы или сервисы партнеров).
Вознаграждения
Таблица выплат
Вознаграждение выплачивается только в случае, если команда безопасности посчитает, что все условия и правила выполнены. Вознаграждение выплачивается в соответствии с таблицей ниже:
• Critical – до 500 000 рублей в рамках промоакции до 30.11.2025
• High – до 240 000 рублей - в зависимости от оценки последствий в рамках промоакции до 30.11.2025
• Medium – до 50 000 рублей - в зависимости от оценки ущерба
• Low – до 10 000 рублей - в зависимости от оценки ущерба
• Info - отсутствует
• High – до 240 000 рублей - в зависимости от оценки последствий в рамках промоакции до 30.11.2025
• Medium – до 50 000 рублей - в зависимости от оценки ущерба
• Low – до 10 000 рублей - в зависимости от оценки ущерба
• Info - отсутствует
Размер выплаченной награды является окончательным и не подлежит обсуждению.
Идентификация трафика
- Добавляйте заголовок ко всем запросам:
X-BCS-BugBounty: <Ваш_токен>
Для вайтлиста в системе защиты, мы выдаем специальные токены для каждого пользователя. Чтобы получить, пришлите пожалуйста запрос на почту support@standoff365.com со своей почты, на которую зарегистрирован аккаунт Standoff.
Приоритетные уязвимости
Критичные уязвимости
Мы особенно заинтересованы в критичных уязвимостях на стороне сервера и принимаем следующие типы уязвимостей:
- Удаленное исполнение кода (RCE)
- Инъекции (например, SQL/XML)
- SSRF (Server-Side Request Forgery)
- LFI/RFI
- Path Traversal
- Недостатки аутентификации/авторизации (в том числе приводящие к компрометации аккаунта)
- IDOR (Insecure Direct Object References) с демонстрацией логики перебора идентификаторов там, где это возможно
- Уязвимости бизнес-логики (например, обход лимитов на транзакции)
- XSS/CSRF с воздействием на чувствительные данные (критическая оценка присваивается только при демонстрации уявзимости, которая потенциально может привести к массовому раскрытию ПДн, Банковской тайны, либо к краже аккаунта)
- Раскрытие чувствительной информации
- Уязвимости небезопасной десериализации
Уязвимости с минимальным приоритетом
- неограниченная отправка СМС сообщений, поскольку внедрен и работает антибот
- XSS-атаки без подтверждения реального влияния
Исключения из программы
Не принимаются отчеты о:
- Сообщения об уязвимостях в сервисах, не относящихся к системе БКС;
- Сообщения о мошеннических схемах, злоупотреблении легитимным функционалом (такие сообщения рекомендуем присылать в чат поддержки, вознаграждение за подобные репорты в рамках баг-баунти не полагается);
- Проблемы, никак не связанные с безопасностью;
- Сообщения о возможных DDoS-атаках;
- Credential stuffing - использование утекших учетных данных для входа в различные системы (за исключением случаев раскрытия учетных записей к административным системам);
- Информацию об IP-адресах, DNS-записях и открытых портах;
- Сообщения о применении фишинга и других техник социальной инженерии;
- Отчеты сканеров уязвимостей и других автоматизированных средств;
- Сообщения о публично доступных панелях входа, за исключение административных панелей;
- Сообщения об отсутствии HTTPS;
- Отчеты с информацией о небезопасной конфигурации SSL/TLS, без демонстрации влияния;
- Clickjacking;
- HTTP-коды/страницы или файлы с неконфиденциальной информацией;
- Разглашение публичной информации о пользователях;
- Обход проверки на root и jailbreak;
- Сообщения о возможности обратной разработки мобильный приложений.
- CSRF без демонстрации влияния, Logout CSRF
- Некорректные настройки SPF/DKIM/DMARC/DNS.
- Атаки, связанные с физическим доступом к устройству пользователя
Правила тестирования
Общие правила
• К участию не допускаются действующие сотрудники ФГ БКС или аффилированные с ними лица, так же, как и сотрудники организаций, выполняющих работы для ФГ БКС. Указанные ограничения сохраняются в течении года с момента прекращения договорных отношений.
• Для проведения тестирования используйте только свои собственные учетные записи либо учетные записи пользователей, который явно выразили свое согласие. Не пытайтесь получить доступ к чужим аккаунтам или любой конфиденциальной информации.
• Во время поиска уязвимостей следует избегать нарушения конфиденциальности, целостности и доступности информации в наших сервисах.
• Запрещена любая деятельность, которая может нанести ущерб приложениям компании, ее инфраструктуре, клиентам и партнерам. Примеры запрещенных действий: социальная инженерия, атаки типа "Отказ в обслуживании", физическое воздействие на инфраструктуру.
• Для подтверждения наличия уязвимости используйте минимально возможный POC (Proof of Concept). В случае, если это может повлиять на других пользователей или же работоспособность системы, свяжитесь с нами для получения разрешения. Дальнейшая эксплуатация уязвимостей строго запрещена.
• При обнаружении 0-day или 1-day уязвимости, патч для которой выпущен менее двух недель, они могут быть рассмотрены как дубли.
• Автоматическое сканирование должно быть ограничено 5 запросами в секунду.
• ФГ БКС может изменить условия настоящей программы, в том числе прекратить ее действие, в любой момент в одностороннем порядке по своему усмотрению без специального уведомления. При этом изменения вступают в силу с момента размещения обновленной редакции на платформе.
• Для проведения тестирования используйте только свои собственные учетные записи либо учетные записи пользователей, который явно выразили свое согласие. Не пытайтесь получить доступ к чужим аккаунтам или любой конфиденциальной информации.
• Во время поиска уязвимостей следует избегать нарушения конфиденциальности, целостности и доступности информации в наших сервисах.
• Запрещена любая деятельность, которая может нанести ущерб приложениям компании, ее инфраструктуре, клиентам и партнерам. Примеры запрещенных действий: социальная инженерия, атаки типа "Отказ в обслуживании", физическое воздействие на инфраструктуру.
• Для подтверждения наличия уязвимости используйте минимально возможный POC (Proof of Concept). В случае, если это может повлиять на других пользователей или же работоспособность системы, свяжитесь с нами для получения разрешения. Дальнейшая эксплуатация уязвимостей строго запрещена.
• При обнаружении 0-day или 1-day уязвимости, патч для которой выпущен менее двух недель, они могут быть рассмотрены как дубли.
• Автоматическое сканирование должно быть ограничено 5 запросами в секунду.
• ФГ БКС может изменить условия настоящей программы, в том числе прекратить ее действие, в любой момент в одностороннем порядке по своему усмотрению без специального уведомления. При этом изменения вступают в силу с момента размещения обновленной редакции на платформе.
Политика для RCE/SQLi
Разрешено:
• Выполнение команд: ifconfig, hostname, whoami, id.
• Чтение файлов: /etc/passwd, /proc/sys/kernel/hostname.
• Создание и удаление файлов в /tmp/.
• Выполнение команд: ifconfig, hostname, whoami, id.
• Чтение файлов: /etc/passwd, /proc/sys/kernel/hostname.
• Создание и удаление файлов в /tmp/.
Ограничения на тестирование SQL-инъекций:
Разрешены только следующие действия:
• Получение информации о базе данных: SELECT database(), SELECT @@version.
• Получение схемы базы данных: SELECT table_schema, SELECT table_name.
• Выполнение логических запросов без извлечения данных.
Запрещено:
• Изменение или удаление данных.
• получать доступ к конфиденциальным данным.
• Деструктивные команды (к примеру - rm, shutdown).
• Получение схемы базы данных: SELECT table_schema, SELECT table_name.
• Выполнение логических запросов без извлечения данных.
Запрещено:
• Изменение или удаление данных.
• получать доступ к конфиденциальным данным.
• Деструктивные команды (к примеру - rm, shutdown).
Ограничения на тестирования загрузки и чтения файлов
Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с правилами ниже.
Запрещенные действия при загрузке файлов:
• Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие.
• Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера).
• Загрузка вредоносных файлов (например, вредоносного или шпионского ПО).
• При получении возможности чтения произвольных файлов на сервере запрещены любые действия кроме чтения таких файлов, как /etc/passwd и /proc/sys/kernel/hostname
При необходимости проведения иных действий необходимо согласовать их с командой ДИБ,
Запрещенные действия при загрузке файлов:
• Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие.
• Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера).
• Загрузка вредоносных файлов (например, вредоносного или шпионского ПО).
• При получении возможности чтения произвольных файлов на сервере запрещены любые действия кроме чтения таких файлов, как /etc/passwd и /proc/sys/kernel/hostname
При необходимости проведения иных действий необходимо согласовать их с командой ДИБ,
Определение критичности уязвимости
Мы оставляем за собой право принимать окончательное решение в отношении серьезности найденной уязвимости. После получения отчета мы проводим внутреннее расследование и определяем степень критичности, учитывая множество факторов, в том числе:
• Уровень привилегий, необходимый для реализации атаки;
• Трудность обнаружения и эксплуатации;
• Наличие требования взаимодействия с пользователем;
• Влияние на целостность, доступность и конфиденциальность затронутых данных;
• Потенциальные финансовые потери/репутационные и регуляторные риски;
• Количество затронутых пользователей.
• Трудность обнаружения и эксплуатации;
• Наличие требования взаимодействия с пользователем;
• Влияние на целостность, доступность и конфиденциальность затронутых данных;
• Потенциальные финансовые потери/репутационные и регуляторные риски;
• Количество затронутых пользователей.
- В случае дублирования вознаграждение будет выплачено только за первый отчёт.
- Если исправление уязвимости из предыдущего отчёта устраняет уязвимость в новом отчёте, вознаграждение будет выплачено только за исходный отчёт.
- Идентичная ошибка в той же функции/функции зеркального/брендового/регионального домена будет считаться дубликатом.
Политика раскрытия информации
Запрещено публичное обсуждение уязвимостей без письменного разрешения команды безопасности БКС.
Отчеты с недостаточной информацией или дубликаты отклоняются.
Мы оставляем за собой право отклонить любой запрос на публичное раскрытие отчета.
Отчеты с недостаточной информацией или дубликаты отклоняются.
Мы оставляем за собой право отклонить любой запрос на публичное раскрытие отчета.
Требования к отчетам
Обязательные пункты
- Тип уязвимости
- Описание уязвимости: Детальное объяснение проблемы с указанием критичности
- Шаги воспроизведения: Пошаговая инструкция.
- PoC (Proof of Concept): Примеры запросов, скриншоты, видео, программный код
- Рекомендации по исправлению: Предложения по устранению.
Формат отчета
Отправляйте отчеты в формате DOCX/PDF.
Используйте шаблон:
• Уязвимость: [Название]
• Описание:
• Шаги воспроизведения:
• PoC:
• Рекомендации:
Используйте шаблон:
• Уязвимость: [Название]
• Описание:
• Шаги воспроизведения:
• PoC:
• Рекомендации:
FAQ
Как избежать блокировки?
Соблюдайте лимит запросов (5/сек).
Используйте заголовок X-BCS-BugBounty.
Используйте заголовок X-BCS-BugBounty.
Как отслеживать статус отчета?
Ответ в течение 20 рабочих дней.
Обновления статуса в личном кабинете на платформе
Обновления статуса в личном кабинете на платформе
Заключение
БКС ценит вклад каждого исследователя в безопасность наших сервисов. Мы стремимся к открытому диалогу и готовы вознаграждать ваши усилия. Спасибо за участие в программе Bug Bounty БКС!