EN

Точка

Company: Точка
Точка — банк и экосистема сервисов для предпринимателей и предприятий. С нами работают более 600 тыс. предпринимателей страны.
Обслуживайтесь полностью онлайн, но не бойтесь остаться в одиночестве: получите поддержку 24/7 в чате и по телефону.
Бесплатное пополнение счёта, платежи на счета ИП, физлицам и ООО — 0₽. Бухгалтерия, помощь в выходе на маркетплейсы, сервисы Реклама и Нетворк — всё, чтобы ваш бизнес развивался.
https://tochka.com
Rewards are paid to individual entrepreneurs and self-employed persons
Program description

Приветствуем на программе поиска уязвимостей Точка Bug Bounty!

Мы создаем удобную и безопасную экосистему для бизнеса и приглашаем вас принять участие в программе Точка Bug Bounty, направленную на улучшение безопасности наших клиентов и продуктов.
Если у вас есть информация, связанная с уязвимостями, сообщите ее нам в соответствии с нижеперечисленными правилами.

Область действия программы

tochka.com - основной сайт Точки.
allo.tochka.com - сайт Справочной.
shop.tochka.com - Универмаг Точки.
*.tochka-tech.com - технические сервисы Точки.
Все остальные ресурсы, в том числе домены третьего и выше уровней (*.tochka.com) находятся вне области действия программы. Отчеты по ним принимаются как информативные, а выплата вознаграждения остается на наше усмотрение.

Размер вознаграждения

Мы выплачиваем вознаграждения исследователям только за обнаружение ранее неизвестных проблем при выполнении всех правил программы. Все отчеты об уязвимостях рассматриваются индивидуально в зависимости от критичности обнаруженной уязвимости.
Уровень критичностиРазмер вознаграждения
Критическийот 135 до 450 т.р.
Высокийот 45 до 135 т.р.
Среднийот 12,5 до 45 т.р.
Низкийот 1 до 12,5 т.р.
Информационный0
 
Вознаграждение выплачивается, если команда Точки сделает вывод, что все условия правил выполнены и выявленная уязвимость является значимой. Мы оставляем за собой право принимать окончательное решение по серьезности найденной уязвимости. Размер вознаграждения по итогам рассмотрения отчета является окончательным и не подлежит обсуждению.

Какие уязвимости искать

Мы заинтересованы в критичных уязвимостях, которые потенциально могут принести ущерб или вред нашим клиентам, сервисам или продуктам. Если вы сомневаетесь, стоит ли связываться с нами по поводу обнаруженной проблемы, посмотрите, нет ли ее в списке "Не принимаем и не рассматриваем". В случае, если она там отсутствует, смело отправляйте отчет с детальным описанием проблемы. Информацию о том, как лучше сообщить об уязвимости, можно найти в разделе "Рекомендации по содержанию отчетов".

Общие правила

  • участвуя в нашей программе, вы подтверждаете, что прочитали и согласились с настоящими "Правилами". Нарушение правил может привести к лишению права на вознаграждение;
  • область действия программы ограничивается техническими уязвимостями в сервисах компании;
  • если при исследовании сервисов Точки Вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно;
  • при возникновении отчетов об одинаковых уязвимостях вознаграждение получает только первый полученный отчёт (при условии, что он может быть полностью воспроизведен);
  • за обнаружение нескольких уязвимостей с общей причиной возникновения вознаграждение выплачивается как за одну уязвимость;
  • применимость вознаграждения и его размер могут зависеть от серьезности проблемы, новизны, вероятности использования, окружения и/или других факторов;
  • типы уязвимостей, подлежащие вознаграждению, указаны в таблице "Размер вознаграждения";
  • суммы вознаграждения указаны в описании Программы только для справки;
  • отчет, отправленный действующим или бывшим сотрудником (до года с момента увольнения) группы компаний Точка, принимается без оплаты;
  • Точка обязуется не выдвигать исследователям необоснованные обвинения, связанные с участием в Программе.

Правила тестирования

  • обязательно добавляйте к запросам HTTP-заголовок X-Bug-Bounty: <ваш никнейм на площадке>;
  • старайтесь избегать нарушений конфиденциальности, уничтожения данных, а также прерывания или ухудшения качества наших услуг;
  • инструменты автоматического сканирования должны быть ограничены 10 запросами в секунду к целевому узлу, суммируя все инструменты и потоки, работающие параллельно;
  • никакие учетные записи для проведения тестирования не предоставляются;
  • при тестировании уязвимостей используйте минимально возможный POC (Proof of Concept). В случае, если это может повлиять на пользователей или работоспособность системы, свяжитесь с нами для получения решения по дальнейшим действиям. Дальнейшая эксплуатация уязвимостей запрещена.

Не принимаем и не рассматриваем

  • отчеты об отсутствии Rate Limit без влияния на безопасность пользователя или системы (такие отчеты принимаются как информативные), например: email и SMS рассылки, генерация лидов и т.д.
  • отчеты сканеров безопасности и других автоматизированных инструментов;
  • информацию об IP-адресах, DNS-записях и открытых портах;
  • проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
  • уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ (например, WAF);
  • отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
  • Self-XSS и другие уязвимости, напрямую не влияющие на пользователей или данные приложения;
  • уязвимости, для которых требуются версии браузера, выпущенные за 6 и более месяцев (либо прекращена поддержка) до представления отчета;
  • ошибки в настройке CORS без демонстрации их эксплуатации;
  • разглашение информации о существовании в системе данного имени пользователя, email или номера телефон;
  • раскрытие конфиденциальной информации пользователей через внешние ресурсы, не контролируемые Точкой (например данные со шпионского ПО, либо данные, размещенные непосредственно пользователями);
  • атаки типа DoS, информацию о потенциальном отказе в обслуживании;
  • Tabnabbing;
  • Clickjacking;
  • Logout CSRF;
  • отчеты, связанные с CSP, для доменов без CSP и доменных политик с небезопасными eval и/или небезопасными inline;
  • атаки, требующие полного доступа к локальной учетной записи или профилю браузера;
  • раскрытие конфиденциальной информации пользователей через внешние ресурсы, не контролируемые Точкой, например данные со шпионского ПО;
  • уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем;
  • отсутствие лучших практик в конфигурации DNS и почтовых сервисов (DKIM/DMARC/SPF/TXT);
  • неработающие ссылки на страницы социальных сетей или невостребованные ссылки в социальных сетях и подобные страницы;
  • возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности;
  • возможность создавать учетные записи пользователей без каких-либо ограничений;
  • перечисление пользователей;
  • разглашение публичной информации о пользователях;
  • отсутствие уведомлений о важных действиях пользователя;
  • отчеты, связанные с безопасностью мобильных приложений Банка Точка;
  • проблемы, никак не связанные с безопасностью (если вы обнаружите проблемы, не связанные с безопасностью, направляйте их на общий адрес: bank@tochka.com);
  • сообщения о мошеннических схемах, злоупотреблении легитимным функционалом;
  • отсутствие механизма защиты или лучших практик без демонстрации реального влияния на безопасность пользователя или системы (такие отчеты принимаются как информативные), например: отсутствие HTTP-заголовков безопасности (CSP, HSTS и т. д.), флагов безопасности cookie (HttpOnly, Secure и т. д.) или защиты от CSRF, SSL-сертификатов.

Публичное раскрытие информации об уязвимости

Публичное раскрытие информации не предусмотрено. Запрещено публично или в частном порядке раскрывать суть выявленных уязвимостей, способ их эксплуатации или делиться какими-либо подробностями. Мы оставляем за собой право отклонить любой ваш запрос на публичное раскрытие отчета без разъяснения причин.

Недопустимые действия

Исследователям запрещено:
  • получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным;
  • воздействовать на учетные записи других пользователей без их разрешения;
  • использовать обнаруженную уязвимость в личных целях;
  • использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов;
  • проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде Точки, которая проведет атаку в тестовой среде;
  • проводить физические атаки на персонал, дата-центры и офисы компании;
  • проводить атаки на системы Точки с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам;
  • исследовать серверную инфраструктуру, где размещены веб-приложения;
  • разглашать сведения об обнаруженной уязвимости.

Политика тестирования RCE

Тестирование уязвимостей, которые могут приводить к удаленному исполнению кода, должно выполняться в соответствии с изложенными ниже правилами.
Во время тестирования запрещены любые действия на сервере кроме:
  • выполнения команд ifconfig (ipconfig), hostname, whoami, id;
  • чтения содержимого файлов /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini);
  • использование команды echo для передачи символов в файл, расположенный в «/tmp/», либо в каталоге текущего пользователя, чтение файла и последующее его удаление сразу после подтверждения уязвимости.
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.

Политика тестирования SQL-инъекций

Тестирование уязвимостей, которые могут приводить к внедрению команд SQL, должно выполняться в соответствии с изложенными ниже правилами.
Во время тестирования запрещены любые действия на сервере кроме:
  • Получения данных о текущей БД (SELECT database()), ее версии (SELECT @@version), текущего пользователя (SELECT user(), SELECT system_user()) или имени хоста (SELECT @@hostname)
  • Получения схемы БД (SELECT table_schema), списка таблиц в ней (SELECT table_name) и имен столбцов в таблицах (SELECT column_name)
  • Выполнения математических, конверсионных или логических запросов (включая использование SLEEP) без извлечения данных (кроме тех, что перечислены выше)
При необходимости проведения иных действий необходимо предварительно согласовать их с нашей командой.

Политика загрузки и чтения файлов

Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с изложенными ниже правилами.
Запрещенные действия при загрузке файлов:
  • Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие;
  • Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера);
  • Загрузка вредоносных файлов (например, малвари или шпионского ПО).
При получении возможности чтения произвольных файлов на сервере запрещены любые действия кроме чтения таких файлов, как /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini). При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами.

Рекомендации по содержанию отчетов

Отчет должен быть полноценным, понятным и содержать детальное описание вектора атаки и доказательств потенциального нанесения ущерба или вреда. Один отчет должен содержать описание одной уязвимости. Исключением могут быть случаи, когда уязвимости связаны между собой или их можно скомбинировать в цепочку.
При составлении отчета старайтесь включить в него:
  • описание уязвимости;
  • шаги воспроизведения;
  • оценку критичности;
  • рекомендации по устранению.
Также отчет должен содержать:
  • URL уязвимого приложения;
  • тип обнаруженной уязвимости;
  • скриншоты (или видео), подтверждающие наличие уязвимости и демонстрирующие шаги воспроизведения;
  • пример форматированного запроса из BurpSuite (или любой другой POC).
Если в отчете недостаточно данных, чтобы воспроизвести проверку наличия уязвимости, выплата вознаграждения не может быть осуществлена. Не размещайте отчет или части его содержимого на внешних ресурсах.

Определение критичности уязвимости

Окончательное решение в отношении критичности обнаруженной уязвимости мы принимаем после проведения внутреннего исследования и учитываем множество факторов, в том числе:
  • трудность обнаружения и эксплуатации;
  • уровень привилегий, необходимый для реализации атаки;
  • наличие требования взаимодействия с пользователем;
  • влияние на целостность, доступность и конфиденциальность затронутых данных;
  • количество затронутых пользователей.

Дубликаты отчетов

Мы выплачиваем вознаграждение только за первый полученный отчет (при условии, что он содержит всю необходимую информацию для воспроизведения уязвимости). Любые последующие отчеты, затрагивающие ту же уязвимость, будут помечены как дублирующие. Отчеты, содержащие схожие векторы атак также могут считаться дублирующими, в случае если команда Точки считает, что информации из одного отчета достаточно для исправления всех зарегистрированных векторов атак или ошибок. Отчет может быть дубликатом отчета другого исследователя.
Launched October 2, 2024
Edited 07:03
Program format
Vulnerabilities
Reward for vulnerabilities
up to ₽450K
Excl. tax
Top hackers
Overall ranking
The ranking is still empty
Program statistics
₽1,975,000
Paid in total
₽21,236
Average payment
₽384,000
Paid in the last 90 days
161
Valid reports
191
Submitted reports