Программа поиска уязвимостей

Мы уделяем особое внимание безопасности наших продуктов и данных наших пользователей. Поэтому мы приветствуем публичный поиск проблем в безопасности и ответственное раскрытие информации о них. Вот как работает наша программа поиска уязвимостей (bug bounty).

Общая информация

  • Нам интересна информация об уязвимостях во всех наших продуктах. Наиболее интересна информация об уязвимостях в следующих сервисах: kontur.ru, auth.kontur.ru, diadoc.kontur.ru, focus.kontur.ru, hotel.kontur.ru, nds.kontur.ru.
  • Первый исследователь, сообщивший о неизвестной ранее уязвимости в данных сервисах, получит фирменный подарок и может получить денежное вознаграждение. Размер вознаграждения зависит от потенциального ущерба при реализации атаки и качества предоставленного отчета.
  • При поиске уязвимостей избегайте нарушения конфиденциальности и целостности данных, а также доступности наших продуктов. Не проводите автоматизированный перебор, атаки на отказ в обслуживании (DoS и DDoS), не отправляйте спам нашим пользователям, не занимайтесь социальной инженерией и фишингом наших сотрудников и подрядчиков.
  • Если вы обнаружили уязвимость, сообщите нам через форму ниже. Мы рассмотрим ваше обращение в течение 5 рабочих дней и сообщим о результатах.
  • Пожалуйста, не сообщайте никому информацию об уязвимости, пока мы вам не ответим.

Сообщить об уязвимости

Оценка уязвимостей

Мы оцениваем уязвимости в индивидуальном порядке с учетом VRT и нашей экспертизы.

Мы не рассматриваем и не принимаем как уязвимости:

  • сообщения от сканеров безопасности и других средств автоматического сканирования;
  • сообщения без демонстрации реального существования уязвимости (например, основанные только на версиях продуктов или протоколов);
  • сообщения без указания на достоверно возможные негативные последствия (например, основанные на отсутствии механизма защиты или несоответствия рекомендациям — «отсутствие CSRF-токена»).