White Hat Bounty Program

Ringostat White Hat Bounty Program

Спасибо, что обратили внимание на нашу программу вознаграждения за найденные уязвимости. Мы рассмотрим ваш отчет и сделаем все возможное, чтобы быстро устранить проблему.

Подробнее

Мы ценим вашу помощь в обеспечении безопасности данных наших пользователей и вознаграждаем экспертов, которые сообщают об уязвимостях в сервисе. Если вы считаете, что обнаружили такую уязвимость, просим вас сформировать отчет согласно требованиям, описанным ниже. Прежде чем сообщать о проблеме, ознакомьтесь с политикой ответственного раскрытия информации, правилами получения вознаграждения, а также убедитесь, что обнаруженная проблема не входит в перечень ошибок, о которых не следует сообщать.

Политика ответственного раскрытия информации

При составлении отчета придерживайтесь следующих рекомендаций, чтобы избежать инициирование судебных исков против вас и привлечения правоохранительных органов для расследования:

Дополнительное время на анализ

Предоставьте нам достаточно времени на анализ и устранение проблемы, прежде чем публиковать свой отчет в открытом доступе или делиться этой информацией с другими.

Не используйте проблему в каких-либо целях

Ни при каких обстоятельствах не используйте обнаруженную проблему в системе безопасности в каких-либо целях (в т. ч. для демонстрации дополнительных рисков, включая попытки раскрыть конфиденциальные данные компании или найти другие проблемы).

Не уничтожайте данные

Избегайте нарушений конфиденциальности данных и работы других людей, в т. ч., среди прочего, несанкционированного доступа к данным, уничтожения данных и прерывания или ухудшения работы нашего сервиса.

Не нарушайте законы и правила

Не взаимодействуйте с отдельными аккаунтами (в т. ч. не изменяйте и не получайте доступ к данным аккаунта) без согласия их владельцев. Воздерживайтесь от намеренных нарушений любых других применимых законов или норм, в т. ч., среди прочего, законов и норм, запрещающих несанкционированный доступ к данным.

Не нарушайте конфиденциальность

Вам не предоставляются полномочия на доступ к данным пользователей или компаний, включая, среди прочего, персональные данные.

Условия программы вознаграждения за найденные уязвимости

Придерживайтесь политики

Придерживайтесь политики ответственного раскрытия информации (см. выше).

Опишите уязвимость

Опишите уязвимость в нашем сервисе (мы принимаем только проблемы относительно app.ringostat.com) или инфраструктуре, которая подвергает риску безопасность или конфиденциальность информации в отчете.

Ознакомьтесь со списком ошибок

Помните, что степень риска определяется Ringostat и многие ошибки в программном обеспечении не создают уязвимостей в системе безопасности. Ознакомьтесь со списком ошибок, о которых не следует сообщать.

Отчеты о проблемах и их содержание

Ваш отчет должен содержать:

Подробное описание проблемы.

Список использованных инструментов (например, сканер безопасности, версия, браузер).

Условия и пример воспроизведения и/или эксплуатации максимально доступным способом, включая скриншоты если это необходимо.

Подробное описание проблемы.

Список использованных инструментов (например, сканер безопасности, версия, браузер).

Мы намеренно исключили некоторые типы потенциальных проблем безопасности.См. раздел "Область действия программы" ниже.

Если в ходе исследования проблемы вы непреднамеренно допустили нарушение конфиденциальности данных или работы других людей (например, получили доступ к данным аккаунта, конфигурациям сервиса или другой конфиденциальной информации), вы обязаны указать это в своем отчете.

При исследовании проблем используйте тестовые аккаунты. Если у вас не получается воспроизвести проблему с помощью тестового аккаунта, используйте реальный (но не для автоматизированного тестирования). Не взаимодействуйте с другими аккаунтами без согласия их владельцев.

Пожалуйста, отправьте свой отчет на [email protected]

В свою очередь, при оценке ваших отчетов мы будем придерживаться следующих правил

Мы изучим все правильно составленные отчеты и ответим на них.

Учитывайте, что нам понадобится некоторое время для изучения вашего отчета, поскольку мы анализируем отчеты в порядке приоритетности.

В случае поступления нескольких отчетов об одной и той же проблеме вознаграждение получит человек, первым сообщивший о ней. Специалисты Ringostat сами определяют, дублируются ли отчеты, и не сообщают отправившим их людям о других отчетах.

Мы оставляем за собой право публиковать отчеты (и сопровождающие их обновления).

Проблемы, на которые программа вознаграждения не распространяется

Спам и техники социальной инженерии.
Атаки по типу "отказ в обслуживании".
Программа не распространяется на уязвимости системы безопасности в сторонних приложениях и сервисах, интегрированных с Ringostat.
Ошибочные результаты.

Область действия программы вознаграждений за найденные ошибки

Запрещается производить какие-либо манипуляции с любым запросом, отправляемым на сайт с вашего устройства, или иным образом вмешиваться в нормальную работу сайта в связи с подачей вашего отчета. (Например, SQLi, XSS, открытые переходы и уязвимости, связанные с обходом разрешения (такие как IDOR) полностью исключаются из программы.)
Кроме того, вы не имеете права осуществлять доступ к данным или использовать любой токен доступа какого-либо аккаунта Ringostat, кроме вашего собственного.

Сумма вознаграждения

Максимальная сумма вознаграждения составляет 100 долларов США или оплаченная подписка на сервисы Ringostat на эквивалентную сумму.
За выявление проблем с очень низким уровнем риска вознаграждение может не предоставляться вовсе.
Одно вознаграждение выплачивается только одному человеку.
Мы выплачиваем вознаграждение только в том случае, если это не противоречит действующим законам.