Поиск

Политика программы вознаграждения за уязвимости RBK.money

Если вы нашли уязвимости в безопасности сервисов RBK.money, сообщите нам об этом. Мы рассматриваем все легитимные отчеты и делаем все возможное, чтобы максимально быстро устранить уязвимость. Прежде чем сообщать об уязвимости, ознакомьтесь с материалами на этой странице, включая политику раскрытия информации , условия получения вознаграждения и уязвимости, о которых не следует сообщать.

Условия и область действия Программы

В область действия Программы входят следующие домены RBK.money:

*.rbk.money

*.rbk.mn

*.rbkmoney.com


Если вы обнаружите уязвимость, которая не касается перечисленных выше доменов, мы исследуем ее. В этом случае вознаграждение предоставляется в каждом конкретном случае только для наиболее критических уязвимостей. Если вы не уверены в том, участвует сервис в Программе или нет, не стесняйтесь спрашивать нас.

Примечание

  • Используйте свои собственные тестовые учетные записи для поиска уязвимостей. Не взаимодействуйте с другими учетными записями без разрешения их владельцев.
  • Избегайте нарушения конфиденциальности данных.
  • Не используйте обнаруженную уязвимость для своей собственной выгоды. Сюда входит демонстрация дополнительных рисков, попытка раскрыть конфиденциальные данные или найти другие уязвимости.
  • Не используйте инструменты тестирования уязвимостей, которые автоматически генерируют значительные объемы трафика.
  • Не выполняйте атаки, которые могут нанести вред надежности / целостности наших служб или данных (атаки типа «отказ в обслуживании» и другие).
  • Не пытайтесь проникнуть в офисы и центры обработки данных RBK.money.
  • Не осуществляйте рассылку спама и атаки социальной инженерии на наших клиентов и сотрудников, а также не делайте другие сомнительные вещи.

Квалифицируемые уязвимости

Любая уязвимость дизайна или реализации, которая существенно влияет на конфиденциальность или целостность данных, вероятно, будет участвовать в Программе. Общие примеры включают:

  • удаленное исполнение кода на стороне сервера;
  • уязвимости в реализации протоколов аутентификации или авторизации;
  • уязвимости бизнес-логики;
  • CSRF-уязвимости;
  • XSS-уязвимости.

Неквалифицируемые уязвимости

Мы рассматриваем каждый присланный отчет об уязвимости, однако существуют некоторые уязвимости с низким уровнем риска, за которые обычно не назначается вознаграждение.

Примечание

Область действия программы ограничена исключительно техническими уязвимостями в наших сервисах и веб-приложениях.


Мы не принимаем и не рассматриваем отчеты, сгенерированные автоматическими сканерами уязвимостей, а также отчеты о:

  • CSRF-уязвимостях для некритичных действий (logout и другие)
  • уязвимостях типа Self-XSS без демонстрации реального воздействия на безопасность пользователей или систем
  • framing и clickjacking-уязвимостях без документированной серии кликов, подтверждающей существование уязвимости
  • отсутствии механизма безопасности / несоответствии лучшим практикам без демонстрации реального воздействия на безопасность пользователей или систем
  • отсутствии SSL/TLS, использовании небезопасных шифров SSL/TLS
  • атаках, требующих полного доступа к паролям, токенам, профилю браузера или локальной системе
  • раскрытии некритичной информации (такой, как версия продукта, протокола и т.д.)
  • ошибках, которые не затрагивают последние версии современных браузеров и ошибках, связанных с расширениями браузеров
  • уязвимостях, которые затрагивают только пользователей с определенными браузерами
  • атаках, требующих чрезвычайно маловероятного пользовательского взаимодействия
  • атаках типа «отказ в обслуживании» или уязвимостях, связанных с ограничением частоты запросов
  • временных атаках, которые доказывают существование учетной записи пользователя и т.п.
  • небезопасных настройках cookie для некритичных cookie
  • ошибках в содержании / сервисах, которые не принадлежат или не управляются RBK.money (сюда входят сторонние службы, работающие на субдоменах)
  • уязвимостях, которые RBK.money определяет как уязвимости с приемлемым уровнем риска
  • скриптинге или другой автоматизации, переборе предполагаемой функциональности и параметров (например, идентификатора счета, платежных ссылок в сервисе rbk.mn)

Требования к отчетам об уязвимостях

Предоставляя отчет об уязвимостях, вы соглашаетесь соблюдать политику раскрытия информации RBK.money. Отчеты принимаются по почте: [email protected] , с темой письма: bugbountyRbk.

Отчет должен содержать подробное описание обнаруженной уязвимости:

  • уязвимые узлы и компоненты;
  • обнаруженная уязвимость и ее влияние на безопасность;
  • этапы воспроизведения;
  • сценарий атаки;
  • рекомендации по устранению.

Этапы воспроизведения описывают процесс эксплуатации уязвимости, шаг за шагом, в правильном порядке.

В сценарии атаки описывается информация о том, как злоумышленник может использовать обнаруженную вами уязвимость, необходимые условия для ее эксплуатации и то, что атакующий может получить в случае успешной атаки.

Отчеты, которые четко и лаконично идентифицируют затронутый компонент, описывают хорошо разработанный сценарий атаки и включают четкие этапы воспроизведения, рассматриваются намного быстрее.

Мы предпочитаем получать отчеты на русском или английском языке.

Политика вознаграждения

Минимальное вознаграждение за легитимный отчет об уязвимостях составляет 50$. Максимальное вознаграждение зависит от критичности уязвимости.

В случае дублирования отчетов мы назначаем вознаграждение первому лицу, подавшему отчет об уязвимости. Наша рекомендация по предотвращению дублирований - сообщить нам как можно раньше о найденных ошибках.

Для оценки уязвимостей мы используем следующие критерии:

  • качество отчета;
  • возможность эксплуатации уязвимости;
  • тип сервиса, в котором обнаружена уязвимость;
  • оценка финансовых, репутационных и других рисков, связанных с наличием уязвимости.

Наша оценка ваших отчетов базируется на худших возможных последствиях атаки.

Возможны следующие поощрения за качественную информацию об уязвимостях.

  RCE SQLi / SSRF / XXE Stored XSS / IDOR XSS / CSRF
Financial impact $3,000 $1,500 $400 $150
No financial impact $1,000 $500 $200 $50

Выплата награды будет произведена банковским переводом. Также при наличии у вас профиля на HackerOne, мы можем проставить вам благодарность. Профиль RBK.money на Hackerone.

Вознаграждение выплачивается только одному человеку. Количество отчетов об ошибках одним лицом Программы не ограничено. Сотрудники RBK.money и аффилированные с ними лица не могут участвовать в Программе.

Публичное или частное раскрытие сведений о любой уязвимости, обнаруженной в RBK.money, разрешено через 30 дней после устранения этой уязвимости и только с согласия RBK.money.

Запрос на раскрытие информации об уязвимости должен быть подан по почте [email protected]. Раскрытие информации об уязвимости, в том числе частичное, без одобрения со стороны RBK.money запрещается.

Примечание

Любая конфиденциальная информация, случайно полученная в ходе поиска уязвимостей или демонстрации, не должна раскрываться. Эта информация включает (но этим не ограничивается): сведения об инфраструктуре, интерфейсах и деталях реализации, внутреннюю документацию, исходный код, данные пользователей и сотрудников. Преднамеренный доступ к этой информации строго запрещен и может быть признан незаконным применимым законодательством.