Программа вознаграждения за поиск уязвимостей

Последнее изменение: 26 марта 2021 г.

Мы стремимся обеспечить безопасность наших сайтов и приложений. Мы хотели бы наградить ответственных за выявленные уязвимости.

Квалификация уязвимостей

Проблемы проектирования или реализации, которые могут отрицательно повлиять на конфиденциальность и безопасность данных наших пользователей, будут частью программы. Некоторые распространенные нарушения:

• Межсайтовый скриптинг

• Фальсификация межсайтовых запросов

• Скрипты смешанного содержания

• Недостатки аутентификации или авторизации

• Ошибки выполнения кода на стороне сервера

В целях обеспечения доступности наших услуг для всех пользователей, мы просим не предпринимать никаких попыток DoS-атак, не использовать Black Hat SEO, спам, брутфорс или другие аналогичные сомнительные действия. Мы также не рекомендуем использовать инструменты тестирования уязвимостей, которые могут автоматически генерировать очень значительные объемы веб-трафика.

Денежное вознаграждение за уязвимости системы безопасности

Денежное вознаграждение за соответствующие ошибки варьируется от Кредитов до $2,000, в зависимости от класса ошибок и их влияния на бизнес. Вы можете найти значение уязвимостей безопасности в таблице ниже:

1. Оценка влияния основана на потенциальной возможности атаки вызвать нарушения конфиденциальности, финансовые убытки и другой вред для пользователей, а также на охвате пользователей.

2. Оценка вероятности основана на наборе технических навыков, необходимых для проведения атаки, потенциальных мотиваторах такой атаки и вероятности обнаружения уязвимости злоумышленником.

Обратите внимание, что окончательная сумма вознаграждения основывается на схеме оценки вероятности и влияния. Решение будет окончательным, споры не будут рассматриваться.

Исследование и Отчет об ошибках

Когда вы исследуете некую уязвимость, пожалуйста, используйте свой аккаунт в качестве цели атаки. Не пытайтесь получить доступ к чужим данным и не участвуйте в мероприятиях, которые могут нанести вред другим пользователям.

Если одна и та же уязвимость присутствует в нескольких продуктах, объедините проблемы и отправьте один отчет. Если вы обнаружили уязвимость, пожалуйста, свяжитесь с нами по адресу marketing@ahasave.com. Обратите внимание, что мы сможем ответить только на отчеты о технических уязвимостях.

Вознаграждение будет только за первый отчет о конкретной уязвимости, последующие дублированные отчеты с той же проблемой не будут вознаграждены, только первый. Пожалуйста, включите в описание шаги для воспроизведения уязвимости, дополните отчет видео и/или фото.

Основания законности

AhaSave не может выдавать вознаграждения лицам, включенным в санкционные списки или находящимся в странах (например, Куба, Иран, Северная Корея, Судан и Сирия) в санкционных списках. Вы самостоятельно несете ответственность за любые налоговые последствия в зависимости от страны проживания и гражданства. В зависимости от местного законодательства на вас могут быть наложены дополнительные ограничения.

Эта программа вознаграждений не является соревнованием. Это экспериментальная и дискреционная программа, которая позволит нашей команде работать над уязвимостями, обнаруженными технологическими энтузиастами. Обратите внимание, что AhaSave оставляет за собой право окончательно отменить программу в любое время и принять решение о присуждении денежного вознаграждения. Наконец, ваше тестирование не должно нарушать какие-либо законы, нарушать и/или ставить под угрозу любые данные, которые вам не принадлежат.