Программа поиска уязвимостей и багов, запущенная нами в 2017 году, принесла нам мощный стимул для того, чтобы наши продукты стали еще безопаснее, качественнее и функциональнее, а ее участникам - более двух миллионов рублей. Безопасность тех данных, которые нам доверяют клиенты - один из ключевых элементов нашей работы.
Мы считаем, что можем стать еще лучше, поэтому мы рады объявить о старте второго этапа программы поиска уязвимостей!
Описание программы
Программа направлена на поиск уязвимостей и ошибок в работе наших продуктов и услуг:
- нашего сайта;
- нашей Панели управления;
- виртуального хостинга;
- виртуальных выделенных серверов (VPS);
- сервиса регистрации доменных имен;
- прочих разработанных нами программных компонентов.
Для участия в программе принимаются уязвимости, ошибки в работе и любые нелегитимные способы получения данных, располагающихся на серверах.
Взаимодействие по найденным уязвимостям
Для участия в программе необходимо направить отчет по электронной почте на адрес bugbounty@beget.com или через тикет-систему. В отчете должны содержаться:
- Подробное описание найденной уязвимости;
- Подробное и понятное описание шагов, необходимых для воспроизведения найденной уязвимости, или рабочее подтверждение своей концепции (Proof-of-Concept);
- Худший сценарий ее использования (желательно).
После этого мы:
- Рассматриваем, изучаем и оцениваем присланную Вами информацию (рассмотрение может занимать до 30 дней. В ходе оценки мы представляем себе худший сценарий эксплуатации);
- Связываемся с вами для подтверждения;
- Выплачиваем вам соответствующее вознаграждение (выплата может занимать до 14 дней).
В сложных ситуациях мы оставляем за собой право увеличить сроки рассмотрения и выплат, каждый такой случай оговаривается отдельно.
Выплаты и размеры наград
Вознаграждение выплачивается в случае, если:
- Вы первый, кто сообщил об уязвимости;
- Вы не использовали уязвимость для причинения вреда нашей инфраструктуре или нашим пользователям;
- Вы не публиковали данные об уязвимости в общедоступных источниках.
Вы можете сообщать нам о любых типах уязвимостей или ошибок - мы всегда найдем время и ресурсы, чтобы рассмотреть их и отблагодарить вас за поиски. До окончания программы действуют следующие уровни вознаграждения за найденные уязвимости:
- Получение доступа к данным на системном сервере с правами пользователя root - до 200 000 рублей;
- Получение доступа с правами пользователя root на хостинговом сервере - до 150 000 рублей;
- Получение доступа к данным на системном сервере без получения прав пользователя root (серверы, где непосредственно не располагаются данные пользователей) - до 150 000 рублей;
- Получение доступа к БД с системной информацией - до 50 000 рублей;
- Получение доступа к данным через аккаунт, которому данные не принадлежат (исключая XSS) - до 50 000 рублей.
Окончательная сумма вознаграждения определяется индивидуально, исходя из критичности уязвимости/ошибки.
