Программа поиска уязвимостей — СКБ Контур

Программа поиска уязвимостей

Добро пожаловать в bug bounty программу Контура!

Мы уделяем особое внимание безопасности наших продуктов и данных наших пользователей. Поэтому мы приветствуем публичный поиск проблем в безопасности и ответственное раскрытие информации о них. Ниже изложены правила нашей bug bounty программы. Пожалуйста, внимательно прочитайте их.

Мы приостанавливаем выплаты по отчетам исследователей, находящихся за пределами РФ и не имеющих карты российского банка.

Таблица наград

Low Medium High Critical
3 500 — 7 000  7 000 — 35 000  35 000 — 70 000  70 000 — 105 000 

Первый исследователь, сообщивший о неизвестной ранее валидной уязвимости может получить награду. В качестве награды мы предлагаем денежное вознаграждение и фирменные подарки. Размер вознаграждения зависит от критичности найденной уязвимости.

Мы оцениваем уязвимости в индивидуальном порядке с учетом VRT и нашей экспертизы. Критичность уязвимости может быть понижена/повышена в зависимости от потенциального ущерба при реализации атаки.

Правила программы

  • Составляйте подробные отчеты с рабочими шагами для воспроизведения и сценарием атаки. Если отчет оформлен недостаточно подробно чтобы воспроизвести проблему, он может быть лишен права на получение вознаграждения.
  • При поиске уязвимостей избегайте нарушения конфиденциальности и целостности данных, а также доступности наших продуктов.
  • Не проводите автоматизированный перебор, атаки на отказ в обслуживании (DoS и DDoS), не отправляйте спам нашим пользователям, не занимайтесь социальной инженерией и фишингом наших сотрудников и подрядчиков.
  • Обращения в техподдержку и отправка любых форм, которые будут обработаны людьми, строго запрещены.
  • В случае дубликата мы наградим только первый полученный отчет (при условии, что он полностью воспроизводится).
  • Известные нам проблемы, находящиеся в процессе исправления, не претендуют на вознаграждение.
  • Никому не сообщайте информацию о найденной уязвимости без нашего разрешения.
  • Публичные 0-day уязвимости с официальным патчем, выпущенным менее 2 месяцев назад, могут рассматриваться как дубликаты, если они известны нашей команде из общедоступных источников.

Направления поиска

  • Домены:
  • Уязвимости, найденные на других доменах Контура, также принимаются, но решение о вознаграждении остается на усмотрение Контура.
  • Нам интересна информация об уязвимостях во всех наших продуктах.

Исключения из программы

Мы не рассматриваем и не принимаем как уязвимости:

  • Сообщения от сканеров безопасности и других средств автоматического сканирования.
  • Сообщения без демонстрации реального существования уязвимости.
  • Сообщения без указания на достоверно возможные негативные последствия.
  • Сообщения об отсутствии заголовков безопасности.
  • Clickjacking отчеты, основанные на отсутствии HTTP заголовков. Для рассмотрения Clickjacking отчета необходимо предоставить валидный PoC и сценарий атаки с описанием негативных последствий от её реализации.
  • Сообщения об отсутствии лучших практик безопасности.
  • Атаки, требующие MITM или физический доступ к устройству пользователя.
  • Уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ.
  • Уязвимости, которыми можно навредить только самому себе.

Если вы обнаружили уязвимость, сообщите нам через форму ниже. Мы рассмотрим ваше обращение в течение 5 рабочих дней и сообщим о результатах.

Сообщить об уязвимости

English version