Политика программы вознаграждения за уязвимости RBK.money
Если вы нашли уязвимости в безопасности сервисов RBK.money, сообщите нам об этом. Мы рассматриваем все легитимные отчеты и делаем все возможное, чтобы максимально быстро устранить уязвимость. Прежде чем сообщать об уязвимости, ознакомьтесь с материалами на этой странице, включая политику раскрытия информации , условия получения вознаграждения и уязвимости, о которых не следует сообщать.
Условия и область действия Программы
В область действия Программы входят следующие домены RBK.money:
*.rbk.money
*.rbk.mn
*.rbkmoney.com
Если вы обнаружите уязвимость, которая не касается перечисленных выше доменов, мы исследуем ее. В этом случае вознаграждение предоставляется в каждом конкретном случае только для наиболее критических уязвимостей. Если вы не уверены в том, участвует сервис в Программе или нет, не стесняйтесь спрашивать нас.
Примечание
- Используйте свои собственные тестовые учетные записи для поиска уязвимостей. Не взаимодействуйте с другими учетными записями без разрешения их владельцев.
- Избегайте нарушения конфиденциальности данных.
- Не используйте обнаруженную уязвимость для своей собственной выгоды. Сюда входит демонстрация дополнительных рисков, попытка раскрыть конфиденциальные данные или найти другие уязвимости.
- Не используйте инструменты тестирования уязвимостей, которые автоматически генерируют значительные объемы трафика.
- Не выполняйте атаки, которые могут нанести вред надежности / целостности наших служб или данных (атаки типа «отказ в обслуживании» и другие).
- Не пытайтесь проникнуть в офисы и центры обработки данных RBK.money.
- Не осуществляйте рассылку спама и атаки социальной инженерии на наших клиентов и сотрудников, а также не делайте другие сомнительные вещи.
Квалифицируемые уязвимости
Любая уязвимость дизайна или реализации, которая существенно влияет на конфиденциальность или целостность данных, вероятно, будет участвовать в Программе. Общие примеры включают:
- удаленное исполнение кода на стороне сервера;
- уязвимости в реализации протоколов аутентификации или авторизации;
- уязвимости бизнес-логики;
- CSRF-уязвимости;
- XSS-уязвимости.
Неквалифицируемые уязвимости
Мы рассматриваем каждый присланный отчет об уязвимости, однако существуют некоторые уязвимости с низким уровнем риска, за которые обычно не назначается вознаграждение.
Примечание
Область действия программы ограничена исключительно техническими уязвимостями в наших сервисах и веб-приложениях.
Мы не принимаем и не рассматриваем отчеты, сгенерированные автоматическими сканерами уязвимостей, а также отчеты о:
- CSRF-уязвимостях для некритичных действий (logout и другие)
- уязвимостях типа Self-XSS без демонстрации реального воздействия на безопасность пользователей или систем
- framing и clickjacking-уязвимостях без документированной серии кликов, подтверждающей существование уязвимости
- отсутствии механизма безопасности / несоответствии лучшим практикам без демонстрации реального воздействия на безопасность пользователей или систем
- отсутствии SSL/TLS, использовании небезопасных шифров SSL/TLS
- атаках, требующих полного доступа к паролям, токенам, профилю браузера или локальной системе
- раскрытии некритичной информации (такой, как версия продукта, протокола и т.д.)
- ошибках, которые не затрагивают последние версии современных браузеров и ошибках, связанных с расширениями браузеров
- уязвимостях, которые затрагивают только пользователей с определенными браузерами
- атаках, требующих чрезвычайно маловероятного пользовательского взаимодействия
- атаках типа «отказ в обслуживании» или уязвимостях, связанных с ограничением частоты запросов
- временных атаках, которые доказывают существование учетной записи пользователя и т.п.
- небезопасных настройках cookie для некритичных cookie
- ошибках в содержании / сервисах, которые не принадлежат или не управляются RBK.money (сюда входят сторонние службы, работающие на субдоменах)
- уязвимостях, которые RBK.money определяет как уязвимости с приемлемым уровнем риска
- скриптинге или другой автоматизации, переборе предполагаемой функциональности и параметров (например, идентификатора счета, платежных ссылок в сервисе rbk.mn)
Требования к отчетам об уязвимостях
Предоставляя отчет об уязвимостях, вы соглашаетесь соблюдать политику раскрытия информации RBK.money. Отчеты принимаются по почте: [email protected] , с темой письма: bugbountyRbk.
Отчет должен содержать подробное описание обнаруженной уязвимости:
- уязвимые узлы и компоненты;
- обнаруженная уязвимость и ее влияние на безопасность;
- этапы воспроизведения;
- сценарий атаки;
- рекомендации по устранению.
Этапы воспроизведения описывают процесс эксплуатации уязвимости, шаг за шагом, в правильном порядке.
В сценарии атаки описывается информация о том, как злоумышленник может использовать обнаруженную вами уязвимость, необходимые условия для ее эксплуатации и то, что атакующий может получить в случае успешной атаки.
Отчеты, которые четко и лаконично идентифицируют затронутый компонент, описывают хорошо разработанный сценарий атаки и включают четкие этапы воспроизведения, рассматриваются намного быстрее.
Мы предпочитаем получать отчеты на русском или английском языке.
Политика вознаграждения
Минимальное вознаграждение за легитимный отчет об уязвимостях составляет 50$. Максимальное вознаграждение зависит от критичности уязвимости.
В случае дублирования отчетов мы назначаем вознаграждение первому лицу, подавшему отчет об уязвимости. Наша рекомендация по предотвращению дублирований - сообщить нам как можно раньше о найденных ошибках.
Для оценки уязвимостей мы используем следующие критерии:
- качество отчета;
- возможность эксплуатации уязвимости;
- тип сервиса, в котором обнаружена уязвимость;
- оценка финансовых, репутационных и других рисков, связанных с наличием уязвимости.
Наша оценка ваших отчетов базируется на худших возможных последствиях атаки.
Возможны следующие поощрения за качественную информацию об уязвимостях.
RCE | SQLi / SSRF / XXE | Stored XSS / IDOR | XSS / CSRF | |
---|---|---|---|---|
Financial impact | $3,000 | $1,500 | $400 | $150 |
No financial impact | $1,000 | $500 | $200 | $50 |
Выплата награды будет произведена банковским переводом. Также при наличии у вас профиля на HackerOne, мы можем проставить вам благодарность. Профиль RBK.money на Hackerone.
Вознаграждение выплачивается только одному человеку. Количество отчетов об ошибках одним лицом Программы не ограничено. Сотрудники RBK.money и аффилированные с ними лица не могут участвовать в Программе.
Публичное или частное раскрытие сведений о любой уязвимости, обнаруженной в RBK.money, разрешено через 30 дней после устранения этой уязвимости и только с согласия RBK.money.
Запрос на раскрытие информации об уязвимости должен быть подан по почте [email protected]. Раскрытие информации об уязвимости, в том числе частичное, без одобрения со стороны RBK.money запрещается.
Примечание
Любая конфиденциальная информация, случайно полученная в ходе поиска уязвимостей или демонстрации, не должна раскрываться. Эта информация включает (но этим не ограничивается): сведения об инфраструктуре, интерфейсах и деталях реализации, внутреннюю документацию, исходный код, данные пользователей и сотрудников. Преднамеренный доступ к этой информации строго запрещен и может быть признан незаконным применимым законодательством.