Программа поиска уязвимостей
Программа Bug Bounty для повышения безопасности Pachca.com. Приветствуем участие экспертов в области информационной безопасности и готовы вознаградить за найденные уязвимости.
Сообщить об уязвимостиПравила участия
- В программе принимаются только ранее неизвестные и полностью воспроизводимые командой информационной безопасности Пачки уязвимости
- Исследования должны проводиться добросовестно, что включает четкое соблюдение правил программы и любых других положений, обозначенных на исследуемом ресурсе
- Обнаруженные уязвимости не должны использоваться в незаконных или недобросовестных целях
- Мы рассматриваем отчеты как информационные, если отчет отправлен действующим или бывшим сотрудником компании
Правила тестирования
- Для проведения тестирования необходимо использовать собственные учетные записи, либо учетные записи пользователей, которые явно выразили свое согласие на такие действия
- Средства сканирования должны быть ограничены до 3 запросов в секунду. Если даже при соблюдении данного ограничения вы заметили деградацию сервиса — остановите сканирование
- Во избежание классификации сгенерированного трафика как вредоносного и предотвращения связанных с этим проблем необходимо добавлять HTTP-заголовок ко всем исходящим запросам: X-Bug-Bounty: username
- При тестировании RCE, SQL, LFR, SSTI разрешено использовать только МИНИМАЛЬНО возможный POC для доказательства (sleep, чтение: /etc/passwd, сиг). Если это может повлиять на других пользователей или на работоспособность системы свяжитесь с командой информационной безопасности Пачки security@pachca.com для получения разрешения
Запрещается:
- любая деятельность, которая может нанести ущерб приложениям компании, её инфраструктуре и клиентам
- проводить агрессивные действия, которые могут вызвать отказ в обслуживании сервисов компании
- использовать социальную инженерию
- применять методы физического вмешательства в инфраструктуру компании
- публикация или раскрытие деталей отчетов без согласования с командой информационной безопасности Пачки
Уязвимости и недостатки, которые не принимаются к рассмотрению:
- отчеты об уязвимостях в сервисах, не относящихся к мессенджеру «Пачка»
- отчеты сканеров уязвимостей и других автоматизированных инструментов
- раскрытие версий программного обеспечения, отображение описания ошибки, stacktrace и прочее, если не показано раскрытие чувствительной информации
- раскрытие публичной пользовательской информации
- отчеты, основанные на версии продукта/протокола без демонстрации реального наличия уязвимости
- отчеты об отсутствующем механизме защиты / лучшей текущей практике (например, отсутствие CSRF-маркера, защиты от framing/clickjacking) без демонстрации реального влияния на безопасность пользователя или системы
- сообщения об опубликованных и неопубликованных политиках SPF и DMARC
- CSRF logout
- site scripting, reflected download и подобные атаки с сомнительным воздействием
- self XSS
- отчеты, связанные с CSP, для доменов без CSP и доменных политик с небезопасными eval и/или небезопасными inline
- инъекции формул Excel и CSV
- теоретические атаки без рабочего POC
- уязвимости отказа в обслуживании (DOS)
- возможность отправки большого количества сообщений
- возможность отправки спама или файла вредоносного ПО
- раскрытие неиспользуемых или должным образом ограниченных ключей API (например, ключ API для внешнего картографического сервиса)
- возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности
- спам пользователей при помощи OTP, email-сообщений или иных средств коммуникации
Вознаграждение
Выплата вознаграждений производится за отчёты, которые соответствуют условиям участия и описывают ранее неизвестные проблемы безопасности.
Размер вознаграждения зависит от уровня критичности уязвимости:
| Критичность | Сумма |
|---|---|
| Critical | 80 000 ₽ - 120 000 ₽ |
| High | 45 000 ₽ - 80 000 ₽ |
| Medium | 15 000 ₽ - 45 000 ₽ |
| Low | 3 000 ₽ - 10 000 ₽ |
| Info | Без оплаты |
Помимо критичности самой уязвимости, выплата также зависит от критичности задачи, на которую был прислан отчет. Ниже представлена таблица с коэффициентами:
| Критичность задачи | Коэффициент |
|---|---|
| Critical | 1.0 |
| High | 0.75 |
| Medium | 0.5 |
| Low | 0.25 |
Определение критичности уязвимости
Финальное решение о присвоении уязвимости уровня критичности и размере вознаграждения принимается ИБ командой компании, исходя из влияния на безопасность, влияния на репутационные риски, влияния на бизнес риски, сложности эксплуатации, вероятности эксплуатации и других факторов.
Работа с дубликатами
Выплата вознаграждения производится только первому участнику, сообщившему об уязвимости. Все последующие отчеты, содержащие в себе эту же уязвимость, будут помечены как дубликат, и вознаграждение по ним не будет выплачено!
0-day policy
Общедоступные 0-day/1-day уязвимости также будут отнесены к дубликатам в течение нескольких дней после публикации сведений об уязвимости, в случае если уязвимость известна команде безопасности компании.
Ограничения
Пачка оставляет за собой право изменить настоящие Правила или изменить программу Bug Bounty в любое время без предварительного уведомления. Любые изменения в программе или правилах будут опубликованы. Если вы продолжаете участвовать в программе после публикации таких изменений, вы должны следовать измененным Правилам.
Требования к отчету
Составляйте подробные отчеты с рабочими шагами для воспроизведения уязвимости. Это существенно ускорит триаж и назначение выплаты в случае признания отчета оплачиваемым.
Отчет должен содержать:
- полное описание найденной уязвимости
- описание влияния на безопасность пользователя и/или системы
- описание шагов воспроизведения уязвимости, по возможности включая скриншоты, видео, тексты запросов/ответов, код используемого эксплойта, дату и время выполнения запросов, идентификаторы учетных записей, с которых осуществлялось тестирование, другие материалы, необходимые для воспроизведения уязвимости
- краткие рекомендации по устранению
SLA
Мы постараемся держать вас в курсе событий:
- Время первичной реакции на отчет (с момента отправки) — 2 рабочих дня
- Время на подтверждение найденной уязвимости (с момента получения отчета) — 7 рабочих дней
- Время расчета вознаграждения (после подтверждения) — 15 рабочих дней
Отправка отчета
Если вы обнаружили уязвимость, сообщите нам о ней, отправив письмо с отчетом на электронную почту security@pachca.com
Написать нам