Программа "Bug Bounty

Мы стремимся защитить наше сообщество и создали программу безопасности, чтобы пользователи могли сообщать о проблемах, связанных с безопасностью нашего сайта.

Если ты считаешь, что нашел уязвимость или проблему и хочешь принять участие в нашей программе, предоставь нам подробное описание проблемы, включая шаги, которые мы можем предпринять для воспроизведения проблемы, и/или доказательство концепции.

Если ты отправляешь отчет, пожалуйста, выдели разумное количество времени, чтобы наша команда ответила на твой отчет и решила проблему. Мы очень ценим твои усилия по защите нашего сообщества и, возможно, вознаградим участников за помощь. Все отчеты подчиняются условиям нашей программы, изложенным ниже, и Положениям и условиям обслуживания, доступным на сайте.



Область применения

Мы приветствуем сообщения о любых проблемах или уязвимостях, связанных с безопасностью, которые ты находишь на нашем сайте. Однако, пожалуйста, не прибегай к фишингу, рассылке спама или другим сомнительным методам, которые могут преследовать наших пользователей или поставить под угрозу их данные, генерировать значительный трафик или вызвать перебои в работе нашего сайта. Использование автоматизированных средств сканирования безопасности разрешено до тех пор, пока они не вызывают проблем.



Bounty

Минимальное вознаграждение составляет 100 долларов за нарушение безопасности. Вознаграждение зависит от серьезности нарушения безопасности. Проблемы, которые не влияют на безопасность, не имеют права на получение вознаграждения, но все равно приветствуются и будут рассматриваться как любое другое сообщение.



Приемлемость

- Ты должен быть первым, кто сообщит об уязвимости.

- Ты не имеешь доступа к данным других пользователей и используешь только свои собственные созданные аккаунты.

- Ты не должен публично раскрывать уязвимость, пока мы не устраним ее.

- Ты предоставишь работающее доказательство концепции, использующее уязвимость.

- Отчет об уязвимости будет зашифрован с помощью PGP (подробности см. ниже; см.: Связаться с нами).



Исключение

Регистрация/отмена регистрации CSRF

DDoS

Социальная инженерия у клиентов или сотрудников HOT Group AG

Self-XSS (мы требуем доказательства того, как XSS может быть использован для атаки на другого пользователя Алголии).

Пренебрежение тарифными ограничениями

Отчет об автоматизированных инструментах и сканировании

Уязвимости в отправке спама или несанкционированных сообщений

Ошибки в программном обеспечении сторонних производителей

Опции X-кадра, связанные с

Связанные с HSTS

DNSSEC

Отсутствие заголовков безопасности, которые не ведут напрямую к уязвимости

Физические атаки на инфраструктуру

Теоретические атаки

Нарушение доверия SSL/TLS

Компрометация браузера/устройства (например, совместное использование компьютера, физический доступ к устройству пользователя, ...)

Уязвимости, которые влияют только на пользователей устаревших или непропатченных браузеров и платформ.

Политики восстановления паролей и учетных записей, например, истечение срока действия ссылки на сброс или сложность пароля

Уязвимости без разрешения с нашей стороны (HEIST, ...)

Устаревшие записи DNS, указывающие на систему, которая нам не принадлежит



Собственность и стимул

Любой отчет, который ты отправляешь нам, становится нашей собственностью, и мы не обязаны отвечать на любой отчет. Однако если мы всё же отреагируем на сообщение, мы можем по своему усмотрению предоставить тебе денежную или неденежную компенсацию в знак признательности за твою помощь. Ты несешь ответственность за все налоги и любые расходы, затраты или сборы, связанные с твоим участием в Программе и любым вознаграждением.



Отказ от гарантийных обязательств

ТЫ ОДНОЗНАЧНО ПРИЗНАЕШЬ И СОГЛАШАЕШЬСЯ С ТЕМ, ЧТО: (1) ТВОЕ УЧАСТИЕ В ПРОГРАММЕ И ИСПОЛЬЗОВАНИЕ ЛЮБЫХ ВОЗНАГРАЖДЕНИЙ ОСУЩЕСТВЛЯЕТСЯ НА ТВОЙ СОБСТВЕННЫЙ РИСК. HOT GROUP AG КАТЕГОРИЧЕСКИ ОТКАЗЫВАЕТСЯ ОТ ВСЕХ ГАРАНТИЙ ЛЮБОГО РОДА, ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ, ПОДРАЗУМЕВАЕМЫМИ ГАРАНТИЯМИ ТОВАРНОГО СОСТОЯНИЯ, ПРИГОДНОСТИ ДЛЯ КОНКРЕТНОЙ ЦЕЛИ И НЕНАРУШЕНИЯ ПРАВ. HOT GROUP AG СПЕЦИАЛЬНО СНИМАЕТ С СЕБЯ ОТВЕТСТВЕННОСТЬ ЗА ЛЮБЫЕ ДЕЙСТВИЯ, ВОЗНИКШИЕ В РЕЗУЛЬТАТЕ ТВОЕГО УЧАСТИЯ В ПРОГРАММЕ ИЛИ ИСПОЛЬЗОВАНИЯ ЛЮБОГО ВОЗНАГРАЖДЕНИЯ.



Заключительное замечание

Мы просим тебя следовать принципам ответственного раскрытия информации и дать нашей команде разработчиков разумное количество времени для ответа и исправления представленной проблемы, прежде чем обнародовать ее. Мы просим тебя открыто общаться с нами по поводу релиза, чтобы мы были в согласии по поводу отчета и сроков.



Большое спасибо, мы очень ценим твои усилия! Удачного взлома!