White Hat Bounty Program

Ringostat White Hat Bounty Program

Дякуємо, що звернули увагу на нашу програму винагороди за знайдені вразливості. Ми розглянемо ваш звіт і зробимо все можливе, щоб швидко усунути проблему.

Детальніше

Ми цінуємо вашу допомогу в убезпеченні даних наших користувачів і винагороджуємо експертів, які повідомляють про вразливості в сервісі. Якщо ви вважаєте, що виявили таку вразливість, просимо вас сформувати звіт згідно з вимогами, описаними нижче. Перш ніж повідомляти про проблему, ознайомтеся з політикою відповідального розкриття інформації, правилами отримання винагороди, а також переконайтеся, що виявлена проблема не входить до переліку помилок, про які не слід повідомляти.

Політика відповідального розкриття інформації

При складанні звіту дотримуйтесь таких рекомендацій, щоб уникнути судових позовів та залучення правоохоронних органів для розслідування:

Додатковий час для аналізу

Надайте нам достатньо часу для аналізу та усунення проблеми, перш ніж публікувати свій звіт у відкритому доступі або ділитися цією інформацією з іншими.

Не використовуйте проблему в жодних цілях

Ні за яких обставин не використовуйте виявлену проблему в системі безпеки в жодних цілях (включаючи демонстрацію додаткових ризиків, спроби розкриття конфіденційних даних компанії або пошук інших проблем).

Не знищуйте дані

Уникайте порушення конфіденційності даних та роботи інших людей, зокрема, несанкціонованого доступу до даних, знищення даних та переривання або погіршення роботи нашого сервісу.

Не порушуйте закони та правила

Не взаємодійте з окремими акаунтами (включаючи зміну та отримання доступу до даних акаунта) без згоди їхніх власників. Утримуйтесь від навмисних порушень будь-яких інших чинних законів або норм, зокрема, законів та норм, що забороняють несанкціонований доступ до даних.

Не порушуйте конфіденційність

Вам не надаються повноваження на доступ до даних користувачів або компаній, включаючи, зокрема, персональні дані.

Умови програми винагороди за знайдені вразливості

Дотримуйтесь політики

Дотримуйтесь політики відповідального розкриття інформації (див. вище).

Опишіть вразливість

Опишіть вразливість у нашому сервісі (ми приймаємо лише проблеми щодо app.ringostat.com) або інфраструктурі, яка ставить під загрозу безпеку або конфіденційність інформації у звіті.

Ознайомтеся зі списком помилок

Пам'ятайте, що ступінь ризику визначається Ringostat і багато помилок у програмному забезпеченні не створюють уразливостей у системі безпеки. Ознайомтеся зі списком помилок, про які не слід повідомляти.

Звіти про проблеми та їхній зміст

Ваш звіт повинен містити:

Детальний опис проблеми.

Список використаних інструментів (наприклад, сканер безпеки, версія, браузер).

Умови та приклад відтворення і/або експлуатації максимально доступним способом, включаючи скріншоти, якщо це необхідно.

Детальний опис проблеми.

Список використаних інструментів (наприклад, сканер безпеки, версія, браузер).

Ми навмисно виключили деякі типи потенційних проблем безпеки. Див. розділ «Область дії програми» нижче.

Якщо під час дослідження проблеми ви ненавмисно допустили порушення конфіденційності даних або роботи інших людей (наприклад, отримали доступ до даних облікового запису, конфігурацій сервісу або іншої конфіденційної інформації), ви зобов'язані вказати це у своєму звіті.

Під час дослідження проблем використовуйте тестові акаунти. Якщо у вас не виходить відтворити проблему за допомогою тестового акаунта, використовуйте реальний (але не для автоматизованого тестування). Не взаємодійте з іншими акаунтами без згоди їхніх власників.

Будь ласка, надішліть свій звіт на [email protected]

Зі свого боку, під час оцінювання ваших звітів ми дотримуватимемося таких правил

Ми вивчимо всі правильно складені звіти та відповімо на них.

Враховуйте, що нам знадобиться певний час для вивчення вашого звіту, оскільки ми аналізуємо звіти в порядку пріоритетності.

У разі надходження кількох звітів про одну й ту саму проблему винагороду отримає людина, яка першою повідомила про неї. Фахівці Ringostat самі визначають, чи дублюються звіти, і не повідомляють людям, які їх надіслали, про інші звіти.

Ми залишаємо за собою право публікувати звіти (та супроводжуючі їх оновлення)

Проблеми, на які програма винагороди не поширюється

Спам і техніки соціальної інженерії.
Атаки за типом «відмова в обслуговуванні».
Програма не поширюється на вразливості системи безпеки в сторонніх додатках і сервісах, інтегрованих з Ringostat.
Помилкові результати.

Область дії програми винагород за знайдені помилки

Забороняється здійснювати будь-які маніпуляції з будь-яким запитом, що надсилається на сайт з вашого пристрою, або іншим чином втручатися в нормальну роботу сайту у зв'язку з подачею вашого звіту. (Наприклад, SQLi, XSS, відкриті переходи та вразливості, пов'язані з обходом дозволу (такі як IDOR) повністю виключаються з програми).
Крім того, ви не маєте права здійснювати доступ до даних або використовувати будь-який токен доступу будь-якого акаунта Ringostat, крім вашого власного.

Сума винагороди

Максимальна сума винагороди становить 100 доларів США або оплачену підписку на сервіси Ringostat на еквівалентну суму.
За виявлення проблем з дуже низьким рівнем ризику винагорода може не надаватися зовсім.
Одна винагорода виплачується тільки одній людині.
Ми виплачуємо винагороду тільки в тому випадку, якщо це не суперечить чинним законам.