Мы уделяем особое внимание безопасности наших продуктов и данных наших пользователей. Поэтому мы приветствуем публичный поиск проблем в безопасности и ответственное раскрытие информации о них. Вот как работает наша программа поиска уязвимостей (bug bounty).
Общая информация
- Нам интересна информация об уязвимостях во всех наших продуктах. Наиболее интересна информация об уязвимостях в следующих сервисах: kontur.ru, auth.kontur.ru, diadoc.kontur.ru, focus.kontur.ru, hotel.kontur.ru, nds.kontur.ru.
- Первый исследователь, сообщивший о неизвестной ранее уязвимости в данных сервисах, получит фирменный подарок и может получить денежное вознаграждение. Размер вознаграждения зависит от потенциального ущерба при реализации атаки и качества предоставленного отчета.
- При поиске уязвимостей избегайте нарушения конфиденциальности и целостности данных, а также доступности наших продуктов. Не проводите автоматизированный перебор, атаки на отказ в обслуживании (DoS и DDoS), не отправляйте спам нашим пользователям, не занимайтесь социальной инженерией и фишингом наших сотрудников и подрядчиков.
- Если вы обнаружили уязвимость, сообщите нам через форму ниже. Мы рассмотрим ваше обращение в течение 5 рабочих дней и сообщим о результатах.
- Пожалуйста, не сообщайте никому информацию об уязвимости, пока мы вам не ответим.
Сообщить об уязвимости
Оценка уязвимостей
Мы оцениваем уязвимости в индивидуальном порядке с учетом VRT и нашей экспертизы.
Мы не рассматриваем и не принимаем как уязвимости:
- сообщения от сканеров безопасности и других средств автоматического сканирования;
- сообщения без демонстрации реального существования уязвимости (например, основанные только на версиях продуктов или протоколов);
- сообщения без указания на достоверно возможные негативные последствия (например, основанные на отсутствии механизма защиты или несоответствия рекомендациям — «отсутствие CSRF-токена»).