Cloud․ru

Company: Cloud․ru

Cloud․ru — провайдер облачных сервисов и AI-технологий, который делает доступ к облакам и искусственному интеллекту простым и удобным. В Cloud․ru есть 100+ IaaS- и PaaS-сервисов, ML-платформа на базе суперкомпьютеров и публичное облако Cloud․ru Evolution на основе собственных разработок и open source. Инфраструктура провайдера размещена в шести дата-центрах в России с уровнем надежности Tier III. Это гарантирует бесперебойную работу во время ремонта и модернизации оборудования, а также доступность не менее 99,982%.

Rewards are paid to individual entrepreneurs and self-employed persons

Latest changes

Program description

Cloud.ru

№1 в сегменте IaaS, iKS-Consulting, 2024
№1 в сегменте PaaS, iKS-Consulting, 2024
№1 на рынке AI, CNews Analytics, 2024

В команде Cloud․ru более 1 500 специалистов в области IT, кибербезопасности и AI. Cloud․ru входит в число крупнейших IT-компаний России и в топ работодателей Хабр Карьеры.

Чтобы узнать больше, переходите на сайт Cloud.ru или подписывайтесь на Cloud․ru Tech в Telegram.

Область действия программы Bug Bounty в Cloud.ru

Область действия программы Bug Bounty включает личный кабинет и сервисы облачной платформы Cloud.ru Evolution.

Платформа Cloud.ru Evolution

Cloud.ru Evolution — публичное облако, построенное на собственных разработках. Пользователи платформы получают доступ к IaaS- и PaaS-сервисам, вычислительным мощностям с GPU, аренде выделенных физических серверов.

Зарегистрируйтесь в личном кабинете, чтобы получить доступ к платформе.

Сервисы платформы

В рамках программы Bug Bounty для тестирования доступны сервисы на стадии General Availability, то есть готовые к использованию в полном объеме без запроса на подключение через службу поддержки.

Домены и сервисы для тестирования платформы:

консоль платформы — console.cloud.ru/* (все продукты в статусе GA)
продуктовые API сервисов платформы — *.api.cloud.ru

Другие цели перечислены в скоупе.

Идентификация трафика участников программы

В ходе тестирования добавляйте HTTP-заголовок X-Bug-Bounty: {Username} ко всем исходящим запросам, чтобы сгенерированный трафик не классифицировался как вредоносный.

Политика тестирования RCE

Тестирование уязвимостей, которые могут приводить к удаленному исполнению кода, должно выполняться в соответствии с данной политикой.
Во время тестирования запрещены любые действия на сервере, кроме:

выполнения команд ifconfig (ipconfig), hostname, whoami;
чтения содержимого файлов /etc/passwd и /proc/sys/kernel/hostname;
создания пустого файла в каталоге текущего пользователя.

Проведение иных действий необходимо предварительно согласовать с нашей командой безопасности в рамках зарегистрированной уязвимости на площадке.

Запрещены

Эксплуатация уязвимостей более, чем необходимо, для доказательства их существования.
Сканирование автономных сетей Cloud.ru и ее клиентов.
Разглашение информации об отчете без явного согласия команды безопасности Сloud.ru.
Дальнейшее развитие атаки при успешном выходе из контейнера: получение конфиденциальных данных, вертикальное или горизонтальное повышение привилегий и т. д.
Проведение агрессивных действий, которые могут вызвать отказ в обслуживании (DoS/DDoS) сервисов компании.
Методы социальной инженерии.
Генерация flood-запросов в разделе «поддержка» в рамках любого проекта.

Какие уязвимости нас интересуют

В первую очередь нас интересуют критические уязвимости, связанные с получением персональных данных или выходом за пределы контейнера, которые могут привести к утечке конфиденциальной информации, позволяют повысить привилегии горизонтально или вертикально.

Примеры уязвимостей, которые нас интересуют:

удаленное исполнение кода (Remote Code Execution, RCE);
SQL injections;
проблемы в бизнес-логике;
повышение привилегий в рамках организации пользователя;
уязвимости, связанные с контролем доступа (cross/single tenant);
раскрытие конфиденциальной информации;
недостатки аутентификации или авторизации;
SSRF-XXE c раскрытием чувствительной информации;
XSS, кроме Self-XSS;
выход за пределы среды контейнеризации.

Какие уязвимости мы не принимаем

Отчеты автоматизированных инструментов.
RCE без выхода из контейнера или демонстрации возможности горизонтального и вертикального перемещения в рамках проекта пользователя.
Раскрытие информации, не являющейся конфиденциальной.
Раскрытие публичной информации о пользователе.
Отчеты о версии продукта и протокола, уязвимости в которой не причиняют ущерба.
Информацию об уязвимых версиях и протоколах без демонстрации реальной уязвимости.
Небезопасные настройки по умолчанию в образах сервисов доступных в Маркетплейсе Cloud.ru.
Разглашение нечувствительной информации, например, версии продукта.
Возможность выполнить действие, недоступное через пользовательский интерфейс, без рисков для безопасности.
Уязвимости, раскрывающие только учетные записи пользователей, но не содержащие пароля или иных персональных данных.
Уязвимости в партнерских сервисах и продуктах, которые напрямую не влияют на безопасность.
Blind SSRF без возможности сканирования или отправки запросов во внутреннюю инфраструктуру.
Атаки со сценариями, использующими уязвимости в сторонних сайтах, приложениях, библиотеках без демонстрации реального влияния на практическую безопасность пользователя или систему.
Информацию о политиках CSP без демонстрации реального влияния на практическую безопасность пользователя или систему.
Уязвимости типа Logout CSRF, Self-XSS, Framing, ClickJacking.
Информацию об атаках, требующих полный доступ к оборудованию и ПО пользователя.
Возможность обратного инжиниринга приложения или отсутствие обфускации кода.
Теоретические атаки без доказательства возможности использования.

Требования к отчету

Минимальная информация, которая должна быть включена в отчет:

ссылка на уязвимый ресурс;
полное описание найденной уязвимости;
полная информация о воспроизведении уязвимости:
- скриншоты,
- тексты запросов и ответов,
- код для PoC,
- идентификаторы учетных записей, с которых осуществлялось тестирование,
- другие материалы, необходимые для воспроизведения уязвимости.
оценка потенциального влияния, которое уязвимость может оказать на проект/организацию пользователя;
краткие рекомендации по устранению найденной уязвимости.

Ограничения для участников программы

К участию в программе Bug Bounty не допускаются действующие работники Сloud.ru или аффилированных с Сloud.ru лиц, равно как лица, оказывающие услуги или выполняющие работы для Сloud.ru или аффилированных с Сloud.ru лиц на основании соответствующих гражданско-правовых договоров. Указанные ограничения сохраняются для таких лиц еще в течение одного года с момента прекращениях их отношений с Сloud.ru или аффилированных с Сloud.ru лицами.

Вознаграждение

При обнаружении нескольких уязвимостей с общей причиной возникновения вознаграждение выплачивается только один раз.

Финальное решение о присвоении уязвимости уровня критичности и размере вознаграждения принимается командой кибербезопасности Cloud.ru, исходя из следующих факторов:

влияние на безопасность клиентов Cloud.ru;
влияние на бизнес-риски;
вероятность эксплуатации и др;
возможность воздействия на проекты/организации других пользователей;

Дубликаты уязвимостей

Если на момент предоставления отчета уже заведен тикет по найденной уязвимости, то вознаграждение выплачивается только первому предоставившему отчет.

0-day-уязвимости

Общедоступные 0-day- и 1-day-уязвимости также будут отнесены к дубликатам, если уязвимость известна команде безопасности Cloud.ru и ведутся работы над ее устранением или исправлением.

Полезные ссылки

Документация по облачным платформам и сервисам Cloud.ru:

https://cloud.ru/docs

Launched May 12, 09:10

Edited June 15, 10:01

Program format

Vulnerabilities

Reward for vulnerabilities

by severity level

Critical

₽250K–400K

High

₽100K–250K

Medium

₽30K–130K

Low

₽0–20K

None

₽0–0

Excl. tax

Top hackers

Overall ranking

The ranking is still empty

Program statistics

₽50,000

Paid in total

₽16,666

Average payment

₽50,000

Paid in the last 90 days

Valid reports

Submitted reports