BugBounty

BugBounty

Баг-баунти программа — это платформа №1 в Казахстане для выплаты награды за обнаружение уязвимостей в безопасности сервисов и приложений.

Circle

Что такое
Bug Bounty?

Баг-баунти программа — это специальная программа, в ходе которой компания привлекает сторонних специалистов по кибербезопасности (в индустрии называемых «белыми хакерами» или «исследователями», «ресечерами») для тестирования своего программного обеспечения на уязвимости за монетарное вознаграждение. За каждую найденную уязвимость (баг) исследователь получает денежное вознаграждение (баунти).

Компания публично оглашает скоуп (от англ. «Scope» - «объем») работ и уровень вознаграждения за уязвимости, после чего любой желающий может зарегистрироваться и принять участие в баг-баунти программе.

borderXSS
borderSQLi
borderRCE

Правила участия

Для участия в программе необходимо действовать этично и ответственно, а также строго придерживаться установленных правил. Обязательно ознакомьтесь со всеми правилами, прежде чем приступать к поиску уязвимостей.

1

Не распространять информацию о найденной уязвимости до ее исправления.

2

Приложить все усилия, чтобы не причинить ущерб нашим пользователям и услугам (действовать добросовестно).

3

Обязательно использовать свои собственные учетные записи, номера телефонов и т. д. для проведения исследования. Не пытайтесь получить доступ к чужим учетным записям или любой конфиденциальной информации. Если для поиска ошибок нужен доступ к аккаунту, участник должен использовать свой личный аккаунт.

4

Если в ходе исследования участником был случайно получен доступ к личным данным, мы настоятельно просим удалить со своих носителей всю связанную с ними информацию, включая коды подключения, личные данные и т.д., после того, как оповестили нас об этом.

Какие требования к отчету?

Порядок отправки отчета.

Перед отправкой отчета убедитесь, что вся информация, содержащаяся в нем, является достоверной и исчерпывающей. Качественно написанный отчет позволит ускорить процесс подтверждения найденной вами уязвимости и процесс вознаграждения за ваши труды.

Art

Основание для получения вознаграждения

Вознаграждение багхантеру присуждается нашими аналитиками безопасности после рассмотрения и подтверждения уязвимости, описанной багхантером в отчете. Размер вознаграждения зависит от ряда факторов, включая критичность уязвимости, воздействие на работу сервисов, серьезность проблемы, новизна, вероятности использования уязвимости, качество отчета и т.д. Решение о вознаграждении принимается за каждый отчет индивидуально. Следует понимать, что за выявление уязвимостей с очень низким уровнем риска вознаграждение может не предоставляться вовсе.

Как правило, мы выплачиваем меньшие суммы вознаграждения за уязвимости, которые могут быть обнаружены только в устаревших версиях программного обеспечения, однако мы все равно рассматриваем такие отчеты. Мы стараемся предоставлять приблизительно равное вознаграждение за выявление проблем схожей важности, однако со временем сумма вознаграждения и оценка проблем могут меняться. Если ранее вы получили вознаграждение, это не гарантирует, что в будущем вы получите его снова за аналогичную уязвимость. Вознаграждение выплачивается лишь в том случае, если это не противоречит действующему законодательству.

Сумма вознаграждения может быть увеличена на основании ниже следующего:

Point

Качество описания: более высокое вознаграждение может выплачиваться за понятные, подробно составленные отчеты об ошибках;

Point

Качество предложенного варианта исправления ошибки, если таковое присутствует. Более высокое вознаграждение может выплачиваться, если в описании отчета есть предложения о том, как устранить проблему;

Point

Качество доказательства концепции: более высокое вознаграждение может выплачиваться если в отчет включены тестовый код, сценарии и подробные инструкции;

Point

По нашему собственному усмотрению выплата повышенного вознаграждения может быть в случае, когда выявленная вами уязвимость не представляет большого риска сама по себе, но благодаря вашему отчету мы обнаружили уязвимости более высокого уровня риска.

art