Serpstat White Hat Bounty Program
Спасибо, что обратили внимание на нашу программу вознаграждения за найденные уязвимости.
Мы ценим вашу помощь в обеспечении безопасности данных наших пользователей и вознаграждаем экспертов, которые сообщают об уязвимостях в сервисе.
Если вы считаете, что обнаружили такую уязвимость, просим вас сформировать отчет согласно требованиям, описанным ниже. Прежде чем сообщать о проблеме, ознакомьтесь с политикой ответственного раскрытия информации, правилами получения вознаграждения, а также убедитесь, что обнаруженная проблема не входит в перечень ошибок, о которых не следует сообщать.
Мы рассмотрим ваш отчет и сделаем все возможное, чтобы быстро устранить проблему.
Мы ценим вашу помощь в обеспечении безопасности данных наших пользователей и вознаграждаем экспертов, которые сообщают об уязвимостях в сервисе.
Если вы считаете, что обнаружили такую уязвимость, просим вас сформировать отчет согласно требованиям, описанным ниже. Прежде чем сообщать о проблеме, ознакомьтесь с политикой ответственного раскрытия информации, правилами получения вознаграждения, а также убедитесь, что обнаруженная проблема не входит в перечень ошибок, о которых не следует сообщать.
Мы рассмотрим ваш отчет и сделаем все возможное, чтобы быстро устранить проблему.
Предоставьте нам достаточно времени на анализ и устранение проблемы, прежде чем публиковать свой отчет в открытом доступе или делиться этой информацией с другими.
1
2
3
Политика ответственного раскрытия информации
При составлении отчета придерживайтесь следующих рекомендаций, чтобы избежать инициирование судебных исков против вас и привлечения правоохранительных органов для расследования:
Ни при каких обстоятельствах не используйте обнаруженную проблему в системе безопасности в каких-либо целях (в т. ч. для демонстрации дополнительных рисков, включая попытки раскрыть конфиденциальные данные компании или найти другие проблемы).
Избегайте нарушений конфиденциальности данных и работы других людей, в т. ч., среди прочего, несанкционированного доступа к данным, уничтожения данных и прерывания или ухудшения работы нашего сервиса.
4
5
Не взаимодействуйте с отдельными аккаунтами (в т. ч. не изменяйте и не получайте доступ к данным аккаунта) без согласия их владельцев.
Воздерживайтесь от намеренных нарушений любых других применимых законов или норм, в т. ч., среди прочего, законов и норм, запрещающих несанкционированный доступ к данным.
6
Вам не предоставляются полномочия на доступ к данным пользователей или компаний, включая, среди прочего, персональные данные.
Придерживайтесь политики ответственного раскрытия информации (см. выше).
Условия программы вознаграждения за найденные уязвимости
Опишите уязвимость в нашем сервисе или инфраструктуре, которая подвергает риску безопасность или конфиденциальность информации в отчете.
Помните, что степень риска определяется Serpstat и многие ошибки в программном обеспечении не создают уязвимостей в системе безопасности. Ознакомьтесь со списком ошибок, о которых не следует сообщать.
Отчеты о проблемах и их содержание
Подробное описание проблемы.
Условия и пример воспроизведения и/или эксплуатации максимально доступным способом, включая скриншоты если это необходимо.
Список использованных инструментов (например, сканер безопасности, версия, браузер).
Ваш отчет должен содержать:
Мы намеренно исключили некоторые типы потенциальных проблем безопасности.
См. раздел "Область действия программы" ниже.
Если в ходе исследования проблемы вы непреднамеренно допустили нарушение конфиденциальности данных или работы других людей (например, получили доступ к данным аккаунта, конфигурациям сервиса или другой конфиденциальной информации), вы обязаны указать это в своем отчете.
При исследовании проблем используйте тестовые аккаунты. Если у вас не получается воспроизвести проблему с помощью тестового аккаунта, используйте реальный (но не для автоматизированного тестирования). Не взаимодействуйте с другими аккаунтами без согласия их владельцев.
Пожалуйста, отправьте свой отчет на support@serpstat.com
См. раздел "Область действия программы" ниже.
Если в ходе исследования проблемы вы непреднамеренно допустили нарушение конфиденциальности данных или работы других людей (например, получили доступ к данным аккаунта, конфигурациям сервиса или другой конфиденциальной информации), вы обязаны указать это в своем отчете.
При исследовании проблем используйте тестовые аккаунты. Если у вас не получается воспроизвести проблему с помощью тестового аккаунта, используйте реальный (но не для автоматизированного тестирования). Не взаимодействуйте с другими аккаунтами без согласия их владельцев.
Пожалуйста, отправьте свой отчет на support@serpstat.com
Мы изучим все правильно составленные отчеты и ответим на них.
1
2
3
В свою очередь, при оценке ваших отчетов мы будем придерживаться следующих правил:
Учитывайте, что нам понадобится некоторое время для изучения вашего отчета, поскольку мы анализируем отчеты в порядке приоритетности.
В случае поступления нескольких отчетов об одной и той же проблеме вознаграждение получит человек, первым сообщивший о ней. Специалисты Serpstat сами определяют, дублируются ли отчеты, и не сообщают отправившим их людям о других отчетах.
4
Мы оставляем за собой право публиковать отчеты (и сопровождающие их обновления).
Сумма вознаграждения
Максимальная сумма вознаграждения составляет 100 долларов США или оплаченная подписка на сервисы Serpstat на эквивалентную сумму.
За выявление проблем с очень низким уровнем риска вознаграждение может не предоставляться вовсе.
Одно вознаграждение выплачивается только одному человеку.
Мы выплачиваем вознаграждение только в том случае, если это не противоречит действующим законам.
За выявление проблем с очень низким уровнем риска вознаграждение может не предоставляться вовсе.
Одно вознаграждение выплачивается только одному человеку.
Мы выплачиваем вознаграждение только в том случае, если это не противоречит действующим законам.
Область действия программы вознаграждений за найденные ошибки
Запрещается производить какие-либо манипуляции с любым запросом, отправляемым на сайт с вашего устройства, или иным образом вмешиваться в нормальную работу сайта в связи с подачей вашего отчета. (Например, SQLi, XSS, открытые переходы и уязвимости, связанные с обходом разрешения (такие как IDOR) полностью исключаются из программы.) Кроме того, вы не имеете права осуществлять доступ к данным или использовать любой токен доступа какого-либо аккаунта Serpstat, кроме вашего собственного.
Проблемы, на которые программа вознаграждения не распространяется
Спам и техники социальной инженерии.
Атаки по типу "отказ в обслуживании".
Программа не распространяется на уязвимости системы безопасности в сторонних приложениях и сервисах, интегрированных с Serpstat.
Ошибочные результаты.