Возобновление программы поиска уязвимостей!

Программа поиска уязвимостей и багов, запущенная нами в 2017 году, принесла нам мощный стимул для того, чтобы наши продукты стали еще безопаснее, качественнее и функциональнее, а ее участникам - более двух миллионов рублей. Безопасность тех данных, которые нам доверяют клиенты - один из ключевых элементов нашей работы.

Мы считаем, что можем стать еще лучше, поэтому мы рады объявить о старте второго этапа программы поиска уязвимостей!

Описание программы

Программа направлена на поиск уязвимостей и ошибок в работе наших продуктов и услуг:

  • нашего сайта (beget.com);
  • нашей Панели управления (cp.beget.com);
  • виртуального хостинга;
  • виртуальных выделенных серверов (VPS);
  • сервиса регистрации доменных имен;
  • прочих разработанных нами программных компонентов.

Для участия в программе принимаются уязвимости, ошибки в работе и любые нелегитимные способы получения данных, располагающихся на серверах.

Срок проведения программы - c 04.12.2018 г. по 01.06.2019 г., при этом мы оставляем за собой право изменить сроки проведения программы.

Взаимодействие по найденным уязвимостям

Для участия в программе необходимо направить отчет по электронной почте на адрес bugbounty@beget.com или через тикет-систему. В отчете должны содержаться:

  • Подробное описание найденной уязвимости;
  • Подробное и понятное описание шагов, необходимых для воспроизведения найденной уязвимости, или рабочее подтверждение своей концепции (Proof-of-Concept);
  • Худший сценарий её использования (желательно).

После этого мы:

  • Рассматриваем, изучаем и оцениваем присланную Вами информацию (срок рассмотрения может занимать до 30 дней. В ходе оценки мы представляем себе наиболее худший сценарий эксплуатации);
  • Связываемся с вами для подтверждения;
  • Выплачиваем вам соответствующее вознаграждение (срок выплаты может занимать до 14 дней).

В сложных ситуациях мы оставляем за собой право увеличить сроки рассмотрения и выплат, каждый такой случай оговаривается отдельно.

Выплаты и размеры наград

Вознаграждение выплачивается в случае, если:

  • Вы первый, кто сообщил об уязвимости;
  • Вы не использовали уязвимость для причинения вреда нашей инфраструктуре или нашим пользователям;
  • Вы не публиковали данные об уязвимости в общедоступных источниках.

Вы можете сообщать нам о любых типах уязвимостей или ошибок - мы всегда найдем время и ресурсы, чтобы рассмотреть их и отблагодарить вас за поиски. До окончания программы действуют следующие уровни вознаграждения за найденные уязвимости:

  • Получение доступа к данным на системном сервере с правами пользователя root - до 200 000 рублей;
  • Получение доступа с правами пользователя root на хостинговом сервере - до 150 000 рублей;
  • Получение доступа к данным на системном сервере без получения прав пользователя root (серверы, где непосредственно не располагаются данные пользователей) - до 150 000 рублей;
  • Получение доступа к БД с системной информацией - до 50 000 рублей;
  • Получение доступа к данным через аккаунт, которому данные не принадлежат (исключая XSS) - до 50 000 рублей.

Окончательная сумма вознаграждения определяется индивидуально исходя из критичности уязвимости/ошибки.

03 December