Рекомендации по серьезности

Все заявки на вознаграждение оцениваются с использованием специально разработанной простой шкалы. Каждая уязвимость уникальна, но ниже приведены приблизительные рекомендации, которые мы используем внутри компании для оценки и поощрения заявок. 

Критическая серьезность - 1000+ USD

Проблемы критической серьезности представляют прямой и непосредственный риск для широкого круга наших пользователей или для самой компании.

- Выполнение произвольного кода / команды в нашей сети.

- Произвольные SQL-запросы / инъекции.

- Обход процесса входа в систему.

- Доступ к конфиденциальным данным пользователей или доступ к внутренней биллинг-системе. 

Высокая серьезность - 500 USD

Проблемы высокой степени серьезности позволяют злоумышленнику считывать или изменять высокочувствительные данные, доступ к которым у него запрещен.

Получение доступа к некритичному ресурсу, доступ к которому должны иметь только сотрудники.

Атаки типа CSRF / Stored XSS, требующие взаимодействия с пользователем.

Получение доступа / изменение данных конкретного пользователя.

Средняя серьезность - 100 USD

Проблемы средней степени тяжести позволяют злоумышленнику считывать или изменять ограниченные объемы данных, доступ к которым у него запрещен.

Получение списка каталогов серверных файлов

Получение от серверов секретных данных

Функциональные проблемы безопасности, такие как ссылка для сброса пароля, срок действия которой не истекает

Низкая серьезность - 50 USD

Проблемы низкой серьезности позволяют злоумышленнику получить доступ к крайне ограниченным объемам данных. Они могут нарушать ожидания относительно того, как что-либо должно работать, но это практически не допускает повышения привилегий или возможности вызвать непреднамеренное поведение злоумышленника

- Проблемы с DDOS, которые не связаны с применением грубой силы и могут нанести значительный ущерб.

- Запуск подробных страниц ошибок или отладочных страниц без доказательств возможности использования или получения конфиденциальной информации.

- Незначительные утечки информации (нет данных клиентов).

Неподходящие отчеты

- Ошибки, о которых сообщают крупномасштабные сканеры уязвимостей, скребки или автоматизированные инструменты, которые производят чрезмерный объем трафика, включают отсутствующие заголовки.

- Распространенные проблемы с DDOS, ограничение частоты пропущенных / неадекватных запросов.

- Уязвимости в неподдерживаемых браузерах, операционных системах и устаревших версиях наших приложений.

- Социальная инженерия, атаки методом перебора, скомпрометированный пароль пользователя.

- Перечисленные ниже известные проблемы не имеют права на вознаграждение.

Известные проблемы

Следующие проблемы известны и являются ожидаемым поведением mchost. Мы ожидаем, что наши пользователи будут осведомлены о безопасности и не будут применять эти политики.

- Слабая политика паролей, отсутствует максимальная длина пароля.

- Забыли / Сбросили пароль, позволяющий создать новую учетную запись.

- Срок действия ссылки для сброса пароля не истекает после смены пароля / электронной почты.

- Неспособность аннулировать сеанс при смене пароля / электронной почты.

- Выход из системы не приведет к уничтожению существующих сеансов.

- Копирование сессионного файла cookie позволяет войти в систему.

- Запись DMARC отсутствует.

- Раскрытие версии сервера.

- Библиотеки фронтенда не последних версий.

Правила программы вознаграждения за ошибки

- Немедленно сообщайте нам о воспроизводимых ошибках безопасности.

- Никаких нетехнических атак, таких как социальная инженерия, фишинг или физические атаки на наших сотрудников, пользователей или инфраструктуру.

- Чем тщательнее проверка концепции, тем выше вероятность получения выплаты.

- Не публикуйте ошибку до того, как она будет исправлена.

- Вознаграждение будет присуждаться только в USDT.

- При возникновении дубликатов мы присуждаем только первый полученный отчет (при условии, что он может быть полностью воспроизведен).

- Суммы, указанные в рекомендациях по серьезности, являются ориентировочными. Точную сумму вознаграждения определяет наша служба безопасности.

Как отправить отчет

Отправьте заявку через личный кабинет с подробным описанием проблемы. Наша команда свяжется с вами в течение нескольких дней.