Bug Bounty: Награда за ошибку

Программа вознаграждения за обнаружение ошибок и уязвимостей в продуктах компании ISPsystem

Мы уважаем труд охотников за ошибками, поскольку они помогают нам совершенствовать разрабатываемые решения. Для этого мы запустили программу вознаграждения за подтвержденные ошибки и уязвимости.

Стать участником программы можно в несколько кликов. Главное, чтобы запрос на участие соответствовал обозначенным критериям, а сам участник оформил должным образом отчет и принял оферту.

Сообщить об ошибке

Типы ошибок

15000

#1 Проблемы, приводящие к зависанию наших продуктов или к неработоспособности какого‑либо сервиса в результате действий пользователя (не администратора) через панель (например, после ввода определенного значения).

15 000 ₽
25000

#2 Проблемы, позволяющие использовать больше ресурсов, чем доступно в рамках купленной в ISPsystem лицензии (нарушение лицензионного соглашения ISPsystem).

25 000 ₽
50000

#3 Проблемы безопасности, если в результате каких‑либо действий пользователя можно получить данные другого пользователя.

50 000 ₽
100000

#4 Проблема безопасности, если в результате действий пользователя (не главного администратора панели управления) можно получить права администратора.

100 000 ₽
15000 - 100000

#5 Ошибки, основанные на социальной инженерии, когда привилегированный или иной пользователь должен выполнить какое-либо действие: определенную операцию или открыть определенный URL будучи зарегистрированным в системе. Такие ошибки рассматриваются в индивидуальном порядке. Вознаграждение зависит от вероятности возникновения данного события или от того, насколько неочевидны для жертвы последствия выполнения действия или открытия URL.

15 000 - 100 000 ₽

Пояснение

Вероятность возникновения проблем, связанных с переходом администратора по указанному URL, полученному через электронную почту, мессенджеры, обращения в поддержку или иными способами, при условии, что он авторизован в BILLmanager, мы считаем не высокой. Администратору следует проявлять осторожность и обдумывать свои действия перед тем, как переходить по незнакомым ссылкам. Кроме того, определить и устранить последствия перехода по такой ссылке обычно не сложно. Мы готовы выплатить до 15 000 рублей за отчеты о подобных проблемах.

Однако, если ссылка или скрипт выполняется автоматически, например, при открытии запроса в поддержку или просмотре списка, и администратор не осознает, что скрипт сработал — это уже серьезная ошибка. В таком случае вы можете рассчитывать на полную сумму вознаграждения, которую мы обещаем за обнаружение подобных проблем.

В любом случае, Чтобы получить вознаграждение, необходимо предоставить рабочий метод, приводящий к проблемам, описанным в пунктах 1-4. Если вы указываете на уязвимость, позволяющую выполнить скрипт, но не объясняете, как с ее помощью достичь нужного результата, вознаграждение может быть минимальным. Мы выплатим его только в том случае, если сможем самостоятельно добиться результата используя полученную информацию как подсказку

Порядок оформления сообщений

  1. При обнаружении проблемы пользователь должен подготовить понятную пошаговую инструкцию, а также указать прочие условия, при которых проблема возникает (проблема должна стабильно воспроизводиться), приложить логи панели управления с максимальным уровнем отладки и направить сообщение в техподдержку нашей компании.
  2. Далее команда тестирования проверяет наличие проблемы и в случае ее подтверждения регистрирует в системе ошибок.

    Срок рассмотрения сообщений — 3 рабочих дня.
  3. Пользователь, сообщивший о проблеме первым, получает вознаграждение сразу после подтверждения ошибки. Вознаграждение осуществляется в соответствии с положением Программы

Правила и исключения

  • Ошибки, информация о которых попала в открытые источники, в Программе не участвуют.
  • Информация об ошибках считается конфиденциальной и без согласия вендора разглашению не подлежит.
  • Выплата производится только после закрытия уязвимости в продуктах компании, но не позже недели с момента обращения.
  • Участник программы вправе использовать для поиска уязвимостей только продукты, которые находятся в его персональном владении. То есть мы не рассматриваем проблемы, в ходе которых участник повредил инсталляции третьих лиц.
  • Мы не рассматриваем ситуации, когда администратор сознательно снизил безопасность своего сервера (например, оставил свой пароль в открытом виде в домашней директории у каждого пользователя).
  • Мы не рассматриваем ситуации искусственной остановки сервера по причине большого количества запросов с большой длинной данных, приравнивая обозначенный подход к классической DDOS-атаке.
  • В Программе не могут участвовать нынешние и бывшие сотрудники компании, а также их родственники.
  • В случае проблемы, позволяющей использовать больше ресурсов, чем доступно в рамках купленной в ISPsystem лицензии (нарушение лицензионного соглашения ISPsystem). Решения, основанные на модификациях исполняемых файлов, входящих в состав продукта, мы не рассматриваем.
Нашли ошибку?

Заполните небольшую форму, чтобы получить вознаграждение

Сообщить об ошибке
Нашли ошибку?