Добро пожаловать в bug bounty программу Контура!
Мы уделяем особое внимание безопасности наших продуктов и данных наших пользователей. Поэтому мы приветствуем публичный поиск проблем в безопасности и ответственное раскрытие информации о них. Ниже изложены правила нашей bug bounty программы. Пожалуйста, внимательно прочитайте их.
Мы приостанавливаем выплаты по отчетам исследователей, находящихся за пределами РФ и не имеющих карты российского банка.
Таблица наград
| Low | Medium | High | Critical |
|---|---|---|---|
| 3 500 — 7 000 ₽ | 7 000 — 35 000 ₽ | 35 000 — 70 000 ₽ | 70 000 — 105 000 ₽ |
Первый исследователь, сообщивший о неизвестной ранее валидной уязвимости может получить награду. В качестве награды мы предлагаем денежное вознаграждение и фирменные подарки. Размер вознаграждения зависит от критичности найденной уязвимости.
Мы оцениваем уязвимости в индивидуальном порядке с учетом VRT и нашей экспертизы. Критичность уязвимости может быть понижена/повышена в зависимости от потенциального ущерба при реализации атаки.
Правила программы
- Составляйте подробные отчеты с рабочими шагами для воспроизведения и сценарием атаки. Если отчет оформлен недостаточно подробно чтобы воспроизвести проблему, он может быть лишен права на получение вознаграждения.
- При поиске уязвимостей избегайте нарушения конфиденциальности и целостности данных, а также доступности наших продуктов.
- Не проводите автоматизированный перебор, атаки на отказ в обслуживании (DoS и DDoS), не отправляйте спам нашим пользователям, не занимайтесь социальной инженерией и фишингом наших сотрудников и подрядчиков.
- Обращения в техподдержку и отправка любых форм, которые будут обработаны людьми, строго запрещены.
- В случае дубликата мы наградим только первый полученный отчет (при условии, что он полностью воспроизводится).
- Известные нам проблемы, находящиеся в процессе исправления, не претендуют на вознаграждение.
- Никому не сообщайте информацию о найденной уязвимости без нашего разрешения.
- Публичные 0-day уязвимости с официальным патчем, выпущенным менее 2 месяцев назад, могут рассматриваться как дубликаты, если они известны нашей команде из общедоступных источников.
Направления поиска
- Домены:
- Уязвимости, найденные на других доменах Контура, также принимаются, но решение о вознаграждении остается на усмотрение Контура.
- Нам интересна информация об уязвимостях во всех наших продуктах.
Исключения из программы
Мы не рассматриваем и не принимаем как уязвимости:
- Сообщения от сканеров безопасности и других средств автоматического сканирования.
- Сообщения без демонстрации реального существования уязвимости.
- Сообщения без указания на достоверно возможные негативные последствия.
- Сообщения об отсутствии заголовков безопасности.
- Clickjacking отчеты, основанные на отсутствии HTTP заголовков. Для рассмотрения Clickjacking отчета необходимо предоставить валидный PoC и сценарий атаки с описанием негативных последствий от её реализации.
- Сообщения об отсутствии лучших практик безопасности.
- Атаки, требующие MITM или физический доступ к устройству пользователя.
- Уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ.
- Уязвимости, которыми можно навредить только самому себе.
Если вы обнаружили уязвимость, сообщите нам через форму ниже. Мы рассмотрим ваше обращение в течение 5 рабочих дней и сообщим о результатах.