BugBounty

Правила участия

Для участия в программе необходимо действовать этично, с ответственностью и придерживаться установленных правил. Обязательно ознакомьтесь со всеми правилами прежде чем приступать к поиску уязвимостей.

1

Не распространять информацию о найденной уязвимости до ее исправления.

2

Приложить все усилия, чтобы не причинить ущерб нашим пользователям и услугам (действовать добросовестно).

3

Обязательно использовать свои собственные учетные записи, номера телефонов и т. д. для проведения исследования. Не пытайтесь получить доступ к чужим учетным записям или любой конфиденциальной информации. Если для поиска уязвимостей нужен доступ к аккаунту, исследователь должен использовать свой личный аккаунт.

4

Если в ходе исследования участником был случайно получен доступ к личным данным, мы настоятельно просим удалить со своих носителей всю связанную с ними информацию, включая коды подключения, личные данные и т.д., после того, как оповестили нас об этом.

5

Прилагать все необходимые усилия, чтобы избежать случаев нарушения конфиденциальности и работы других пользователей, в том числе несанкционированного доступа к данным, уничтожения данных, прерывания или ухудшения работы сервисов и т. д.

6

Мы посчитаем недопустимым и вознаграждение не будет выплачено, если обнаружим, что в ходе тестирования и поиска уязвимости исследователем:

  • 6.1 Было совершено физическое вмешательство в дата-центры или офисы.
  • 6.2 Применялись методы социальной инженерии, направленной на сотрудников компании.
  • 6.3 Произошел взлом инфраструктуры компании и использование полученной информации для сообщения об уязвимостях.
  • 6.4 Совершены попытки получить доступ к учетной записи или данным других пользователей.
7

Для инструментов автоматического сканирования должно быть высталвено ограничение в виде не более чем 5 запросов в секунду (300 запросов в минуту) на один целевой хост и не должно превышать лимит в 3 параллельных запроса одновременно (5 потоков).

8

Агрессивные приемы проверки безопасности запрещены. Следует помнить, что вы тестируете производственную среду, которая функционирует, поддерживается и контролируется. Чтобы предотвратить негативные последствия, проводите исследования ответственно и разумно контролируйте влияние своих тестов на пользователей, модераторов и администраторов.

Агрессивные способы проверки безопасности и тесты могут привести к срабатыванию защитных механизмов и формированию инцидента ИБ, что, в свою очередь, приведет к другим принудительным мерам, таким как блокировка учетной записи, номера телефона или IP-адреса.

art