ISPsystem

Bug Bounty: Награда за ошибку

Программа вознаграждения за обнаружение ошибок и уязвимостей в продуктах компании ISPsystem Мы уважаем труд охотников за ошибками, поскольку они помогают нам совершенствовать разрабатываемые решения. Для этого мы запустили программу вознаграждения за подтвержденные ошибки и уязвимости. Стать участником программы можно в несколько кликов. Главное, чтобы запрос на участие соответствовал обозначенным критериям, а сам участник оформил должным образом отчет и принял оферту.



Сообщить об ошибке
<span>Bug Bounty: Награда за ошибку</span>

Типы ошибок

15000
Проблемы, приводящие к зависанию наших продуктов или к неработоспособности какого‑либо сервиса в результате действий пользователя (не администратора) через панель (например, после ввода определенного значения).
15 000 ₽ #1
25000
Проблемы, позволяющие использовать больше ресурсов, чем доступно в рамках купленной в ISPsystem лицензии (нарушение лицензионного соглашения ISPsystem).
25 000 ₽ #2
50000
Проблемы безопасности, если в результате каких‑либо действий пользователя можно получить данные другого пользователя.
50 000 ₽ #3
100000
Проблема безопасности, если в результате действий пользователя (не главного администратора панели управления) можно получить права администратора.
100 000 ₽ #4
15000 - 100000
Ошибки, основанные на социальной инженерии, когда привилегированный или иной пользователь должен выполнить какое-либо действие: определенную операцию или открыть определенный URL будучи зарегистрированным в системе. Такие ошибки рассматриваются в индивидуальном порядке. Вознаграждение зависит от вероятности возникновения данного события или от того, насколько неочевидны для жертвы последствия выполнения действия или открытия URL.
15 000 - 100 000₽ #5

Порядок оформления сообщений





01
При обнаружении проблемы пользователь должен подготовить понятную пошаговую инструкцию, а также указать прочие условия, при которых проблема возникает (проблема должна стабильно воспроизводиться), приложить логи панели управления с максимальным уровнем отладки и направить сообщение в техподдержку нашей компании.
02
Далее команда тестирования проверяет наличие проблемы и в случае ее подтверждения регистрирует в системе ошибок.

Срок рассмотрения сообщений — 3 рабочих дня.
03
Пользователь, сообщивший о проблеме первым, получает вознаграждение сразу после подтверждения ошибки. Вознаграждение осуществляется в соответствии с положением Программы

Правила
и исключения

Ошибки, информация о которых попала в открытые источники, в Программе не участвуют.

Информация об ошибках считается конфиденциальной и без согласия вендора разглашению не подлежит.

Выплата производится только после закрытия уязвимости в продуктах компании, но не позже недели с момента обращения.

Участник программы вправе использовать для поиска уязвимостей только продукты, которые находятся в его персональном владении. То есть мы не рассматриваем проблемы, в ходе которых участник повредил инсталляции третьих лиц.

Мы не рассматриваем ситуации, когда администратор сознательно снизил безопасность своего сервера (например, оставил свой пароль в открытом виде в домашней директории у каждого пользователя).

Мы не рассматриваем ситуации искусственной остановки сервера по причине большого количества запросов с большой длинной данных, приравнивая обозначенный подход к классической DDOS-атаке.

В Программе не могут участвовать нынешние и бывшие сотрудники компании, а также их родственники.

В случае проблемы, позволяющей использовать больше ресурсов, чем доступно в рамках купленной в ISPsystem лицензии (нарушение лицензионного соглашения ISPsystem). Решения, основанные на модификациях исполняемых файлов, входящих в состав продукта, мы не рассматриваем.

Нашли ошибку?

Заполните небольшую форму, чтобы получить вознаграждение



Сообщить об ошибке
Сообщить об ошибке