Фаберлик
Company: ФаберликFaberlic («Фаберлик») — российская компания прямых продаж, производитель косметики, одежды, аксессуаров, обуви и товаров других категорий.
Rewards are paid to individual entrepreneurs and self-employed persons
Program description
Программа по недопустимым событиям
Программа ориентирована не на поиск отдельных уязвимостей
как таковых, а на выявление и подтверждение реалистичных сценариев атак, способных привести к реализации недопустимых событий и нарушению критически важных интересов Фаберлик.
как таковых, а на выявление и подтверждение реалистичных сценариев атак, способных привести к реализации недопустимых событий и нарушению критически важных интересов Фаберлик.
Модель программы
Программа проводится в приватном режиме по недопустимым событиям с ограниченным кругом участников и централизованным процессом рассмотрения отчетов через платформу Standoff Bug Bounty.
Особенности Программы:
• используется сценарный подход, ориентированный на достижение недопустимых событий;
• участие в Программе возможно только при соблюдении всех установленных правил и ограничений;
• взаимодействие исследователей с инфраструктурой осуществляется исключительно в рамках границ тестирования.
Особенности Программы:
• используется сценарный подход, ориентированный на достижение недопустимых событий;
• участие в Программе возможно только при соблюдении всех установленных правил и ограничений;
• взаимодействие исследователей с инфраструктурой осуществляется исключительно в рамках границ тестирования.
Общие правила участия
К участию в Программе допускаются исследователи, получившие приглашение на участие и принявшие условия настоящей Программы,
а также правила платформы Standoff Bug Bounty.
Программа является приватной. Участие в Программе без предварительного согласования с Фаберлик не допускается.
Исследователь обязан:
• действовать добросовестно и в рамках установленных правил;
• соблюдать требования законодательства Российской Федерации;
• выполнять тестирование исключительно в пределах области действия Программы;
• незамедлительно прекращать любые действия, которые могут привести к нарушению доступности или устойчивости сервисов Фаберлик.
а также правила платформы Standoff Bug Bounty.
Программа является приватной. Участие в Программе без предварительного согласования с Фаберлик не допускается.
Исследователь обязан:
• действовать добросовестно и в рамках установленных правил;
• соблюдать требования законодательства Российской Федерации;
• выполнять тестирование исключительно в пределах области действия Программы;
• незамедлительно прекращать любые действия, которые могут привести к нарушению доступности или устойчивости сервисов Фаберлик.
Описание недопустимых событий
Недопустимым событием считается получение исследователем несанкционированного доступа во внутреннюю ИТ-инфраструктуру через внешний сетевой периметр с последующим подтверждением возможности нарушения критических бизнес-процессов. Список недопустимых событий представлен в таблице. Подтверждением реализации недопустимого события является успешное выполнении и подтверждении одного или совокупности критериев, указанных ниже.
Список недопустимых событий и критериев реализации
| № | Недопустимое событие | Критерии |
|---|---|---|
| 1 | Остановка продаж и платежей на сайте faberlic.com и в приложении faberlic | 1. Намеренная остановка службы "aas1" на хостах 10.137.10.38 и 10.141.28.35. 2. Остановка должна производиться в результате направленного воздействия на запущенную службу с уровня ОС хоста, на котором она запущена. Обязательно формальное согласие от АО «Фаберлик» перед выполнением вышеописанного действия. |
| 2 | Остановка доставки на маркетплейсы | 1. Получение прав RW к конфигурациям qdiox на сервере — 10.137.28.213. 2. Намеренная остановка службы UISrv_Index_80 на хосте 10.137.10.114. Остановка должна производиться в результате направленного воздействия на запущенную службу с уровня ОС хоста, на котором она запущена. Обязательно формальное согласие от АО «Фаберлик» перед выполнением вышеописанного действия. 3. Возможность запрета исходящего сетевого трафика в интернет с сервера 10.137.10.67 на уровне хоста. 4. Остановка сервиса MSSQLSERVER на серверах 10.137.10.68 или 10.137.10.72. 5. Несанкционированное подключение к БД MSSQL на серверах 10.137.10.68 или 10.137.10.72. 6. Остановка сервиса platformmanager.service на сервере 10.137.28.30. |
| 3 | Остановка доставки от ЦС в РРЦ | 1. Остановка сервиса MSSQLSERVER на серверах 10.145.68.21 или 10.137.10.27. Остановка должна производиться в результате направленного воздействия на запущенную службу с уровня ОС хоста, на котором она запущена. |
Вознаграждение
В рамках программы участник, который первым реализовал недопустимое событие и представил о нём отчёт, получает 1 млн рублей за каждый из реализованных видов НС.
В программе в каждом виде НС может быть один победитель. Вознаграждение выплачивается в рублях.
В программе в каждом виде НС может быть один победитель. Вознаграждение выплачивается в рублях.
Принципы оценки реализации НС
При принятии решения о признании НС реализованным учитывается:
• полнота и логичность сценария атаки;
• практическая реализуемость сценария в реальных условиях;
• уровень полученного доступа и его влияние на безопасность;
• наличие или отсутствие ограничений, препятствующих развитию атаки;
• соответствие действий исследователя условиям и ограничениям программы.
• полнота и логичность сценария атаки;
• практическая реализуемость сценария в реальных условиях;
• уровень полученного доступа и его влияние на безопасность;
• наличие или отсутствие ограничений, препятствующих развитию атаки;
• соответствие действий исследователя условиям и ограничениям программы.
Дополнительные пояснения для исследователей
• Отчёты, описывающие отдельные уязвимости без связи с целевым сценарием, не рассматриваются в рамках Программы по НС.
• Несколько уязвимостей, использованных в рамках одного сценария атаки, рассматриваются как единое достижение (сценарий атаки).
• Несколько уязвимостей, использованных в рамках одного сценария атаки, рассматриваются как единое достижение (сценарий атаки).
Запрещённые действия
В рамках Программы запрещается:
• атаки, влияющие на доступность сервисов (DoS/DDoS, нагрузочное тестирование, флуд, неконтролируемый брутфорс);
• социальная инженерия (фишинг, вишинг), спам-рассылки, атаки на пользователей/сотрудников;
• преднамеренный доступ к персональным данным, платёжным данным или иной чувствительной информации сверх минимально необходимого для подтверждения уязвимости;
• изменение, удаление или повреждение данных/конфигураций, создание постоянных механизмов закрепления;
• распространение, использование или загрузка вредоносного ПО;
• эксплуатация уязвимостей с выходом за пределы границ тестирования или в инфраструктуру Фаберлик без отдельного согласования.
Если для подтверждения уязвимости требуется действие, потенциально влияющее на доступность/целостность, исследователь обязан предварительно согласовать это действие через платформу.
• атаки, влияющие на доступность сервисов (DoS/DDoS, нагрузочное тестирование, флуд, неконтролируемый брутфорс);
• социальная инженерия (фишинг, вишинг), спам-рассылки, атаки на пользователей/сотрудников;
• преднамеренный доступ к персональным данным, платёжным данным или иной чувствительной информации сверх минимально необходимого для подтверждения уязвимости;
• изменение, удаление или повреждение данных/конфигураций, создание постоянных механизмов закрепления;
• распространение, использование или загрузка вредоносного ПО;
• эксплуатация уязвимостей с выходом за пределы границ тестирования или в инфраструктуру Фаберлик без отдельного согласования.
Если для подтверждения уязвимости требуется действие, потенциально влияющее на доступность/целостность, исследователь обязан предварительно согласовать это действие через платформу.
Конфиденциальность
Участие в Программе предполагает соблюдение строгих требований конфиденциальности.
Исследователям запрещается:
• публично раскрывать факт участия в Программе;
• распространять информацию о ходе тестирования, выявленных уязвимостях или реализованных сценариях недопустимых событий;
• передавать третьим лицам любые сведения, полученные в процессе участия в Программе.
Публичное раскрытие информации допускается по согласованию с командой безопасности Фаберлик.
Исследователям запрещается:
• публично раскрывать факт участия в Программе;
• распространять информацию о ходе тестирования, выявленных уязвимостях или реализованных сценариях недопустимых событий;
• передавать третьим лицам любые сведения, полученные в процессе участия в Программе.
Публичное раскрытие информации допускается по согласованию с командой безопасности Фаберлик.
Требования к участникам
К участию в Программе допускаются исследователи, соответствующие следующим требованиям:
• участник достиг возраста 18 лет (исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя);
• участник получил приглашение и принял условия настоящей Программы;
• участник обладает необходимыми техническими знаниями и навыками для проведения тестирования в рамках Программы;
• участник обязуется соблюдать требования конфиденциальности и ограничения, установленные Программой.
• участник достиг возраста 18 лет (исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя);
• участник получил приглашение и принял условия настоящей Программы;
• участник обладает необходимыми техническими знаниями и навыками для проведения тестирования в рамках Программы;
• участник обязуется соблюдать требования конфиденциальности и ограничения, установленные Программой.
В Программе не могут участвовать:
• действующие сотрудники Фаберлик;
• подрядчики и контрагенты, имеющие действующие договоры
• физические лица, оказывавшие консультационные услуги в области информационных технологий или информационной безопасности и имевшие доступ к архитектуре, конфигурации или внутренней информации систем в течение последних трёх лет;
• лица, действующие в интересах вышеуказанных категорий.
• действующие сотрудники Фаберлик;
• подрядчики и контрагенты, имеющие действующие договоры
• физические лица, оказывавшие консультационные услуги в области информационных технологий или информационной безопасности и имевшие доступ к архитектуре, конфигурации или внутренней информации систем в течение последних трёх лет;
• лица, действующие в интересах вышеуказанных категорий.
Принципы рассмотрения отчётов
В рамках Программы отчёты рассматриваются исключительно с точки зрения достижения недопустимых событий, а не на основании отдельных технических уязвимостей или их формальной критичности.
При рассмотрении отчетов применяются следующие принципы:
• ключевым критерием является факт реализации недопустимого события либо подтверждение его значимого этапа;
• отчеты, описывающие отдельные уязвимости без связи с недопустимым событием, не рассматриваются;
• отдельные уязвимости, являющиеся частью одной цепочки атаки, рассматриваются как единый сценарий;
• отчеты, подтверждающие лишь подготовительные или теоретические шаги без фактического доступа во внутреннюю инфраструктуру, не признаются реализацией недопустимого события.
При рассмотрении отчетов применяются следующие принципы:
• ключевым критерием является факт реализации недопустимого события либо подтверждение его значимого этапа;
• отчеты, описывающие отдельные уязвимости без связи с недопустимым событием, не рассматриваются;
• отдельные уязвимости, являющиеся частью одной цепочки атаки, рассматриваются как единый сценарий;
• отчеты, подтверждающие лишь подготовительные или теоретические шаги без фактического доступа во внутреннюю инфраструктуру, не признаются реализацией недопустимого события.
Требования к отчётам
Отчёты в рамках Программы принимаются исключительно через платформу Standoff Bug Bounty и подлежат рассмотрению только в случае, если они подтверждают реализацию недопустимого события либо его значимого этапа.
Отчёт должен содержать достаточную и воспроизводимую информацию для подтверждения заявленного сценария атаки. Отчёт должен включать:
• указание недопустимого события, к которому относится отчет;
• описание способа выявления уязвимости(-ей), использованной(-ых) в рамках сценария атаки;
• описание первоначального вектора атаки и подтверждение входа через внешний сетевой периметр;
• пошаговое описание цепочки действий (шаги по воспроизведению), приведших к реализации недопустимого события либо его значимого этапа;
• описание полученного уровня доступа и подтверждение нахождения исследователя во внутренней инфраструктуре;
• перечень затронутых систем и компонентов инфраструктуры;
• описание артефактов, оставленных в инфраструктуре в ходе реализации сценария (учетные записи, файлы, задачи, изменения конфигурации и иные следы), либо указание на их отсутствие.
Отчёт должен содержать достаточную и воспроизводимую информацию для подтверждения заявленного сценария атаки. Отчёт должен включать:
• указание недопустимого события, к которому относится отчет;
• описание способа выявления уязвимости(-ей), использованной(-ых) в рамках сценария атаки;
• описание первоначального вектора атаки и подтверждение входа через внешний сетевой периметр;
• пошаговое описание цепочки действий (шаги по воспроизведению), приведших к реализации недопустимого события либо его значимого этапа;
• описание полученного уровня доступа и подтверждение нахождения исследователя во внутренней инфраструктуре;
• перечень затронутых систем и компонентов инфраструктуры;
• описание артефактов, оставленных в инфраструктуре в ходе реализации сценария (учетные записи, файлы, задачи, изменения конфигурации и иные следы), либо указание на их отсутствие.
В качестве подтверждений могут использоваться:
• скриншоты;
• логи;
• фрагменты сетевых запросов и ответов;
• иные технические доказательства.
Предоставляемые материалы должны:
• однозначно подтверждать заявленные действия;
• по возможности содержать временные метки;
• не содержать избыточных или чувствительных данных.
Видео- и графические материалы не могут заменять текстовое описание шагов по воспроизведению и используются только в качестве дополнения.
Отчеты, не позволяющие воспроизвести заявленный сценарий либо не содержащие указанных сведений, могут быть отклонены.
• скриншоты;
• логи;
• фрагменты сетевых запросов и ответов;
• иные технические доказательства.
Предоставляемые материалы должны:
• однозначно подтверждать заявленные действия;
• по возможности содержать временные метки;
• не содержать избыточных или чувствительных данных.
Видео- и графические материалы не могут заменять текстовое описание шагов по воспроизведению и используются только в качестве дополнения.
Отчеты, не позволяющие воспроизвести заявленный сценарий либо не содержащие указанных сведений, могут быть отклонены.
В рамках Программы не принимаются к рассмотрению и могут быть отклонены без дополнительного анализа отчеты:
• не приводящие к реализации недопустимого события либо его значимого этапа;
• содержащие описание отдельных уязвимостей, ошибок или недостатков конфигурации без привязки к недопустимому событию;
• основанные исключительно на результатах автоматизированного сканирования;
• не подтверждающие вход через внешний периметр;
• не содержащие воспроизводимого описания цепочки действий (PoC);
• представленные без обязательного идентификатора X-BugBounty;
• относящиеся к ресурсам, находящимся вне установленной области действия Программы (out-of-scope);
• дублирующие ранее подтвержденные отчеты по тому же вектору атаки или сценарию;
• содержащие недостоверную, искаженную или вводящую в заблуждение информацию.
• не приводящие к реализации недопустимого события либо его значимого этапа;
• содержащие описание отдельных уязвимостей, ошибок или недостатков конфигурации без привязки к недопустимому событию;
• основанные исключительно на результатах автоматизированного сканирования;
• не подтверждающие вход через внешний периметр;
• не содержащие воспроизводимого описания цепочки действий (PoC);
• представленные без обязательного идентификатора X-BugBounty;
• относящиеся к ресурсам, находящимся вне установленной области действия Программы (out-of-scope);
• дублирующие ранее подтвержденные отчеты по тому же вектору атаки или сценарию;
• содержащие недостоверную, искаженную или вводящую в заблуждение информацию.
Границы тестирования
Доменное имя/маска домена:
faberlic.com
fl-shop.mx
fl-shop.ge
fl-shop.kg
fl-shop.kz
u.faberlic.com
stg.faberlic.com
grafana.flnet.su
talian.faberlic.com
faberlic-testit.faberlic.com
vpn1.faberlic.com
vpn2.faberlic.com
pliromi.talian.flnet.su
backoffice.faberlic.com
dwh.faberlic.com
git.faberlic.com
share.faberlic.com
gate.tgbot.faberlic.com
mobile-api.pr2.flnet.su
faberlic.com
fl-shop.mx
fl-shop.ge
fl-shop.kg
fl-shop.kz
u.faberlic.com
stg.faberlic.com
grafana.flnet.su
talian.faberlic.com
faberlic-testit.faberlic.com
vpn1.faberlic.com
vpn2.faberlic.com
pliromi.talian.flnet.su
backoffice.faberlic.com
dwh.faberlic.com
git.faberlic.com
share.faberlic.com
gate.tgbot.faberlic.com
mobile-api.pr2.flnet.su