EN

MaxPatrol 360

Company: Positive Technologies
Программа Bug Bounty продукта MaxPatrol 360
Rewards are paid to individual entrepreneurs and self-employed persons
Program description

Программа Bug Bounty продукта MaxPatrol 360

MaxPatrol 360 — это современное решение по управлению инцидентами и управлению кибербезопасностью для организаций любого масштаба, от корпоративных SOC до MSSP.
Платформа помогает выстроить полный жизненный цикл работы с инцидентами ИБ — от организации сбора и обработки данных до расследования, реагирования и аналитики, обеспечивая высокий уровень киберустойчивости и прозрачности процессов.

Ограничения

На момент запуска программы доступ к тестовым стендам продукта предоставляется ограниченно.
Расширенный доступ будет предоставлен позднее, по мере готовности инфраструктуры и процедур сопровождения.

Общие положения:

Типы уязвимостей, принимаемые к рассмотрению. Мы принимаем отчёты об уязвимостях следующих категорий (но не ограничиваемся ими):

1. Единая консоль управления & API

  • Обход аутентификации или авторизации в единой консоли управления, ведущий к получению прав администратора платформы или доступу к данным другого тенанта.
  • XSS (межсайтовый скриптинг) в любом поле ввода интерфейса, позволяющий похитить сессию администратора системы.
  • Небезопасная десериализация в API, используемом для обмена данными между компонентами платформы, ведущая к удалённому выполнению кода (RCE).

2. Межмодульное взаимодействие и данные

  • Нарушение целостности и конфиденциальности данных, передаваемых между модулями платформы (например, через нешифрованные каналы, отсутствие проверки подписи или подделку сообщений).

3. Автоматизированное реагирование

  • Неавторизованный запуск сценариев реагирования, приводящий к нарушению работы бизнес-процессов (например, несанкционированное отключение узлов сети, блокировка пользователей, изменение политик безопасности).
Примечание: Уязвимости, не ведущие к реальному риску (например, теоретические или без подтверждения эксплуатации), могут быть отклонены или оценены как «информационные» без денежного вознаграждения.

Вознаграждения

Размеры вознаграждений описаны в таблице ниже:
Уровень критичностиРазмер выплаты
Критический300 000 - 500 000 р.
Высокий150 000 - 300 000 р.
Средний50 000 - 150 000 р.
Низкий0 - 50 000 р.
 
Вознаграждение может быть выплачено только за сценарии атак, воспроизводимые на инсталляциях официально поддерживаемой версии продукта со всеми доступными обновлениями. Отчеты о недостатках в снятых с поддержки версиях также принимаются, но выплата вознаграждения за такие уязвимости не гарантируется.
Уровень критичности уязвимости определяется в ходе триажа и подтверждения отчёта с учётом влияния на безопасность продукта.
Окончательное решение по уровню критичности уязвимости принимается командой безопасности продукта.

Требования к участникам

Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.
Действующие сотрудники Positive Technologies и бывшие сотрудники, с момента увольнения которых прошло менее 3 лет, могут участвовать в программе, но не могут претендовать на вознаграждение.

Исследователям необходимо:

  • Соблюдать правила, которые устанавливает Positive Technologies в своей программе по раскрытию уязвимостей, а также правила платформы The Standoff 365 Bug Bounty.
  • Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
  • Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут вопросы об отчете.
  • Не разглашать информацию об уязвимости. Право на публикацию информации о найденной уязвимости остается за Positive Technologies.
  • Раскрытие уязвимости допустимо только при наличии исправления и публично зарегистрированного идентификатора CVE/BDU.
  • Багхантер может изъявить желание о раскрытии отчета - PT обязуется запустить процесс согласования регистрации идентификатора уязвимости.

Вознаграждения за уязвимости

Positive Technologies не выплачивает вознаграждение:
  • за отчеты сканеров безопасности и других автоматизированных инструментов;
  • раскрытие несекретной информации (наименования ПО или его версии, технические параметры и метрики системы и пр.);
  • информацию об IP-адресах, DNS-записях и открытых портах;
  • проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
  • уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
  • отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
  • отчеты об отсутствии SSL и других лучших практик (best current practices);
  • уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
  • уязвимости 0-day или 1-day, информация о которых получена командой по безопасности из открытых источников;
  • уязвимости к атаке перебором, если в отчете не описан метод, имеющий существенно более высокую эффективность, чем прямой перебор.
Launched 06:56
Edited 08:02
Program format
Vulnerabilities
Reward for vulnerabilities
by severity level
Critical
₽300K–500K
High
₽150K–300K
Medium
₽50K–150K
Low
₽0–50K
None
₽0–0
Excl. tax
Top hackers
Overall ranking
The ranking is still empty
Program statistics
₽0
Paid in total
₽0
Average payment
₽0
Paid in the last 90 days
0
Valid reports
0
Submitted reports
Description
Vulnerabilities
Ranking
Versions