Программа вознаграждения за уязвимости Эвотор

Если вы нашли уязвимости в безопасности сервисов Эвотор, сообщите нам об этом. Мы рассматриваем все легитимные отчеты и делаем все возможное, чтобы максимально быстро устранить уязвимость. Прежде чем сообщать об уязвимости, ознакомьтесь с материалами на этой странице, включая политику раскрытия информации, условия получения вознаграждения и уязвимости, о которых не следует сообщать.

Условия и область действия Программы

В область действия Программы входят следующие домены Эвотор:

• *.evotor.ru

Если вы обнаружите уязвимость, которая не касается перечисленных выше доменов, мы исследуем ее. В этом случае вознаграждение предоставляется в каждом конкретном случае только для наиболее критических уязвимостей.

Примечание: Используйте свои собственные тестовые учетные записи для поиска уязвимостей. Не взаимодействуйте с другими учетными записями без разрешения их владельцев.

Квалифицируемые уязвимости

• Удаленное исполнение кода на стороне сервера
• Уязвимости в реализации протоколов аутентификации или авторизации
• Уязвимости бизнес-логики
• CSRF-уязвимости
• XSS-уязвимости

Неквалифицируемые уязвимости

Мы рассматриваем каждый присланный отчет об уязвимости, однако существуют некоторые уязвимости с низким уровнем риска, за которые обычно не назначается вознаграждение.

• CSRF-уязвимости для некритичных действий (logout и другие)
• Self-XSS без демонстрации реального воздействия на безопасность пользователей или систем
• Фрейминг и clickjacking-уязвимости без документированной серии кликов
• Отсутствие механизма безопасности / несоответствие лучшим практикам без демонстрации реального воздействия
• Атаки, требующие полного доступа к паролям, токенам, профилю браузера или локальной системе

Требования к отчетам об уязвимостях

Предоставляя отчет об уязвимостях, вы соглашаетесь соблюдать политику раскрытия информации Эвотор. Отчеты принимаются по почте: bugbounty@evotor.ru, с темой письма: bugbountyEvotor.
Отчет должен содержать подробное описание обнаруженной уязвимости:

• Уязвимые узлы и компоненты
• Обнаруженная уязвимость и ее влияние на безопасность
• Этапы воспроизведения
• Сценарий атаки
• Рекомендации по устранению

Политика вознаграждения

Минимальное вознаграждение за легитимный отчет об уязвимостях составляет 50 $. Максимальное вознаграждение зависит от критичности уязвимости.
Возможны следующие поощрения за качественную информацию об уязвимостях:
Тип уязвимостиС финансовым воздействиемБез финансового воздействия

Политика раскрытия информации

Публичное или частное раскрытие сведений о любой уязвимости, обнаруженной в Эвотор, разрешено через 30 дней после устранения этой уязвимости и только с согласия Эвотор. Запрос на раскрытие информации об уязвимости должен быть подан по почте bugbounty@evotor.ru.
Примечание: Любая конфиденциальная информация, случайно полученная в ходе поиска уязвимостей или демонстрации, не должна раскрываться. Эта информация включает (но этим не ограничивается): сведения об инфраструктуре, интерфейсах и деталях реализации, внутреннюю документацию, исходный код, данные пользователей и сотрудников. Преднамеренный доступ к этой информации строго запрещен и может быть признан незаконным применимым законодательством.