Программа раскрытия уязвимостей компании «Пешкарики» нацелена на обеспечение безопасности данных своего сервиса и его пользователей. Цель программы заключается в минимизации последствий любых недочетов в системе безопасности. Если вы занимаетесь исследованиями в области компьютерной безопасности и обнаружили уязвимость в системе «Пешкарики», то просим Вас непублично сообщить о ней компании и дать возможность исправить ее до публикации технического описания проблемы.

 

После получения описания уязвимости в описанном формате, мы связываемся с исследователем и проверяем ее факт. Мы не будем юридически преследовать исследователя, предоставившего информацию о находке, при условии, что он/она предоставил/а информацию в соответствии с нашей программой. Если же исследователь нарушает указанный порядок, мы оставляем за собой право на юридически значимые действия.

 

Предоставление информации

Чтобы сообщить о возможной уязвимости, просьба обратиться к команде разработчиков сервиса «Пешкарики» по электронной почте tech@peshkariki.ru. Пожалуйста, не размещайте информацию о возможных уязвимостях публично без явного согласия наших разработчиков. При сообщении о возможных уязвимостях необходимо передавать информацию в полном объеме, а в случае, если вы имеете информацию о нескольких уязвимостях, сообщайте информацию только об одной из них (по возможности, о самой важной) и дожидайтесь ответа.

 

Вознаграждение

Мы предлагаем денежное вознаграждение исследователям в области компьютерной безопасности, которые решат принять участие в нашей программе Bug Bounty, за предоставление информации об уязвимостях в нашей системе, что поможет нам обеспечить более надежную защиту наших пользователей. 
За каждую подтвержденную нашей командой разработчиков уязвимость мы предоставляем вознаграждение в размере от 100$ до 1000$.

Только первый человек, сообщивший об определенной уязвимости, может получить вознаграждение. Повторные обращения по поводу той же проблемы не будут вознаграждены.

 

Мы готовы выплачивать вознаграждение за обнаружение следующих типов уязвимостей:

  • Удаленное выполнение кода (RCE)
  • Внедрение (инъекция) SQL-кода
  • Сломанная аутентификация
  • Сломанное управление сессиями
  • Обход контроля доступа
  • Межсайтовый скриптинг (XSS)
  • Межсайтовая подделка запроса (CSRF)
  • Уязвимости типа Open Redirect
  • Обратный путь в каталогах

 

Отчеты о ситуациях, когда злоумышленник, обладая правами администратора в отношении своей собственной учетной записи, может угрожать лишь ее безопасности, не подлежат вознаграждению. XSS, запущенный администратором, также не может претендовать на получение вознаграждения.

Для того чтобы получить вознаграждение, уязвимость должна быть обнаружена в последнем публично доступном релизе программного комплекса. Мы рассматриваем только уязвимости в области безопасности. Если наши пользователи сообщат об ошибках по соответствующим каналам связи, мы будем благодарны за это, но учитывая цель программы - обеспечение безопасности, мы предоставляем вознаграждение только за ошибки, которые могут привести к уязвимостям. Решение о принятии других типов ошибок принимается на наше усмотрение.

 

Инструкции

Представляем Вам инструкции по участию в программе раскрытия уязвимостей. Чтобы претендовать на вознаграждение, следуйте этим шагам:

 

  • Не удаляйте и не модифицируйте безвозвратно данные, хранящиеся в системе «Пешкарики».
  • Не используйте полученный в результате уязвимости доступ к непубличным данным компании «Пешкарики» целенаправленно и большей мере, чем это необходимо для демонстрации этой уязвимости.
  • Не подвергайте наши внутренние или внешние сервисы DDoS-атакам или иным способам их нарушить, прервать или замедлить.
  • Не передавайте любым третьим лицам полученную в системе «Пешкарики» конфиденциальную информацию, в том числе (но не ограничиваясь этим) платежную информацию клиентов.
  • Учтите, что социальная инженерия не входит в список вознаграждаемых уязвимостей, поэтому не пытайтесь использовать фишинговые письма или иные методы социальной инженерии на нашей компании, нашем персонале, клиентах или партнерах.

 

Обратите внимание, что мы просим Вас дать нам не менее 30 дней на исправление уязвимости, прежде чем публично обсуждать ее или размещать информацию о ней. Мы признаем, что публикация исследований специалистов по обнаружению уязвимостей может быть очень полезной, но важно избежать противоправного и злонамеренного использования информации об уязвимости. Если Вы считаете, что необходимо опубликовать Ваше открытие как можно раньше, сообщите нам об этом, чтобы мы могли обсудить этот вопрос.

 

Сообщение о наличии уязвимости не является признаком нарушения, а наоборот, помогает нам улучшить безопасность нашей системы и защитить ее от возможных атак в будущем.