Програма баг-баунті

Bankera завжди ставить безпеку своїх клієнтів у пріорітет: наша команда спеціалістів з кібербезпеки невпинно працює над виявленням усіх можливих багів у наших системах. Однак мінімальна вірогідність існування помилок завжди є. Тому ми вирішили відкрити програму, що дозволить нашій спільноті співпрацювати з командою Bankera та допоможе забезпечити надійність, захищеність та високу якість наших послуг.

Винагороди

Винагороди розподіляються залежно від критичності помилки, про яку повідомляється. Bankera не встановлює максимальну винагороду за помилки, про які було повідомлено — якщо ви виявите критичну проблему на нашій платформі, винагорода буде відповідно збільшена. Щоб побачити загальну картину, зверніть увагу на рекомендації щодо розподілу винагород у таблиці нижче. Остаточна винагорода визначається виключно на наш розсуд.

  • Винагороди визначаються на основі таких критеріїв:

    • Якість опису помилки
      Можуть бути призначені більші винагороди за чіткі та детальні описи помилок.

    • Якість доказу концепції
      Нагорода може бути вищою, якщо в звіт включені тестовий код, сценарії та детальні інструкції вирішення проблеми.

    • Якість запропонованого рішення
      Винагорода може бути вищою, якщо звіт містить пропозиції щодо вирішення проблеми.

  • Помилка та винагорода

    • Критичний

      $4,000 - $15,000

    • Високий

      $1,000 - $4,000

    • Середній

      $200 - $1,000

    • Низький

      до $200

Винагороду можна отримати тільки за невідомі помилки, які не були зареєстровані раніше.
Ми виділяємо лише одну винагороду за кожну помічену помилку. Якщо було відправлено декілька звітів про одну і ту саму помилку, ми видамо винагороду тому, хто відправив звіт першим.
Для отримання винагороди не має бути ніяких юридичних перешкод (наприклад, ви не можете брати участь у програмі, якщо ви є резидентом або фізичною особою у країні, щодо якої прийнято міжнародні санкції, зокрема, але не виключно, ЄС, ФАТФ, США, ООН.)
У будь-якому випадку Bankera має право на власний розсуд визначити помилку, про яку було повідомлено, як незначну, а також право на присудження винагороди. Надсилаючи інформацію про помилку, ви погоджуєтеся дотримуватися наведених вище правил.

Як повідомити про помилку

  • Звіти про помилки мають бути представлені з детальним покроковим доказом концепції, що допоможе нам відтворити та оцінити проблему. Наприклад, звіт, який пояснює веб-помилку, має містити принаймні:

    • HTTP-запити/відповіді разом із порушеними параметрами
    • Скріншоти або відео (при необхідності)
    • Опис браузера (його тип), операційної системи, пристроїв та/або версії програм
    • Опис можливого впливу помилки
    • Пропозиції щодо вирішиення проблеми (якщо можливо)
  • Не публікуйте файли та/або відомості про проблему. Це правило включає завантаження на будь-які загальнодоступні веб-сайти (наприклад, YouTube, Imgur, Pastebin тощо).

  • Зашифруйте ваше повідомлення та будь-які вкладення за допомогою нашого відкритого ключа PGP (доступно нижче).

  • Надсилайте свої звіти про помилки за адресою [email protected].

Якщо наша команда з кібербезпеки не зможе відтворити та підтвердити помилку, винагорода не буде виплачена.

Баг-бокс
Повідомити про помилку

Помилки, що приймаються до розгляду

  • Всі помилки, знайдені у будь-якому сервісі Bankera, потрапляють під дію програми баг-баунті включно з домашньою сторінкою Bankera та платформою інтернет-банкінгу. Загалом, повідомлення про помилки, які потенційно можуть призвести до фінансових втрат або порушення цілісності даних, вважаються достатньо серйозними. До них належать:

    • Міжсайтова підробка запиту (Cross-Site Request Forgery (CSRF))
    • Міжсайтовий скриптинг (Cross-Site Scripting (XSS))
    • Включення коду (Code Injection)
    • Віддалене виконання коду (Remote Code Execution)
    • Підвищення привілеїв (Privilege Escalation)
    • Обхід аутентифікації (Authentication Bypass)
    • Клікджекінг (Clickjacking)
    • Витік конфіденційних даних (Leakage of Sensitive Data)

Помилки, що не приймаються до розгляду

  • Зазвичай, нищенаведені проблеми не вважаються достатньо серйозними, тож повідомлення про них не винагороджуються:

    • Нестача DNSSEC
    • Введення заголовків (host header injections) без конкретного та видимого впливу
    • Експлойти у флеш (flash based exploits)
    • CSRF на формах без аутентифікації чи щодо нечутливих дій
    • Клікджекінг на сторінках без чутливих дій
    • Вразливості, що вимагають атаки Man-in-the-middle (MITM) або фізичного доступу до веб-браузеру користувача, облікового запису електронної пошти, смартфону та проблеми на кореневих/зламаних пристроях.

Відповідальне розголошення

Відповідальне виявлення багів включає в себе, але не обмежується:

  • Надати нам достатню кількість часу для вирішення проблеми до того як публікувати інформацію про неї.

  • Докласти максимум зусиль, щоб не порушити конфіденційність інших користувачів, дані, роботу наших сервісів тощо (принцип добросовісної дії).

  • Під час пошуку помилок, не ошукувати сервіс Bankera та його користувачів (не взаємодіяти з окремими обліковими записами, що включає у себе зміну даних користувачів або отримання доступу до даних облікового запису).

  • Для виконання експлойтів, що вимагають доступ до облікового запису, використовуйте свій власний обліковий запис.

  • Якщо ви випадково отримали доступ до приватних даних, ми попросимо вас видалити всю пов'язану з ними інформацію, включаючи коди підключення, особисті дані тощо, після того, як сповістили нас про це.

  • Якщо у зв'зку з помилкою ви змогли отримати доступ до коштів та/або перемістити їх з Bankera, ви погоджуєтесь повернути їх до Bankera у повному обсязі.

* Щоб заохотити відповідальне виявлення помилок, ми не будемо вдаватись до юридичних дій проти особи, що виявила помилку, якщо та робить все можливе для дотримання рекомендацій, наведених вище.

Папка з документами

Знайшли помилку?

Повідомити про помилку