Spaser выплачивает награды за обнаружение проблем в безопасности своих сервисов и приложений. Любой желающий может попытаться найти уязвимость, сообщить нам об этом и получить денежный приз.

1. Где искать

В инфраструктуре, веб-сервисах, в мобильных приложениях Spaser для устройств на iOS и Android, которые так или иначе работают с личной информацией пользователей. Личная информация — это, например, логины и пароли, переписка, фото- и видеоальбомы.

Веб-сервисы: на доменах imspb.ru, spaser.pw, spaserrus.ru.

Мобильные приложения: ANICS. Кабинет, Talon, Spaser AUR, Spaser EMail, ANICS.Реклама, ANICS.Календарь.

Инфраструктура: вся автономная система Spaser за исключением адресов внешних проектов, расположенных в инфраструктуре Spaser.

2. Куда и как сообщать

Отправлять сообщения об ошибках лучше всего на [email protected]: так Spaser сможет быстрее обработать присланную информацию и ответить вам.

3. Что искать

Уязвимости — технические недостатки, с помощью которых можно нарушить целостность или конфиденциальность пользовательской информации, а также изменить права доступа к ней.

В качестве классификации уязвимостей для веб-сервисов используется OWASP Top-10 версии 2010 года, для мобильных приложений — OWASP Mobile Top-10.

Классификация уязвимостей инфраструктуры:

• Несанкционированный доступ к сетевому и хостовому оборудованию Spaser;
• Неправомерное использование инфраструктуры Spaser (рассылка спама, DDoS);
• Утечка критичной информации (приватные ключи, пароли).

В зависимости от уровня опасности и качества отчета цена вознаграждения может меняться, ниже указан ориентировочный уровень вознаграждений.

4. Размеры наград

Сервисы.

Классификация уязвимости по OWASP Top-10	Размер награды
A01. Инъекции	43000 - 170000 руб.
A02. Межсайтовый скриптинг – A05. Межсайтовая подделка запросов	8500 - 17000 руб.
A06. Ошибки конфигурации веб-окружения – A10. Открытое перенаправление	5500 - 8500 руб.

Мобильные приложения.

Классификация уязвимости по OWASP Mobile Top-10	Размер награды
M01. Небезопасное хранилище данных – M05. Недостатки в механизмах аутентификации и авторизации	8500 - 17000 руб.
M06. Недостатки в управлении сессией – M08. Утечка данных	5500 - 8500 руб.

В особых случаях размер награды может быть увеличен.

5. Ограничения и политика ответственного разглашения

Spaser вручает награды только за обнаружение новых уязвимостей.

Участвовать в «Убийстве» могут пользователи в возрасте от 14 лет. При этом те, кто младше 18, принимают участие только с письменного согласия родителей.

Сотрудники Spaser или компаний-партнёров, а также авторы кода, в котором обнаружена уязвимость, не могут участвовать в «Убийстве».

Для тестирования и демонстрации уязвимостей можно использовать только свою учётную запись ANICS. Взламывать чужие учётные записи ANICS ни в коем случае нельзя.

В течение 90 дней после отправки сообщения об ошибке о ней нельзя никому и нигде рассказывать. Также, пожалуйста, не размещайте код обнаруженной уязвимости на публично доступных сервисах и ресурсах, чтобы информация не стала доступна третьим лицам.

6. Вопросы и ответы

За какие уязвимости награда не вручается?

Spaser не выплачивает вознаграждение за:

• Сообщения об уязвимостях, найденных на сторонних сайтах и сервисах, взаимодействующих со Spaser;
• Сообщения об уязвимости паролей и других аутентификационных данных пользователей;
• Сообщения об уязвимостях, которые найдены во внешних проектах, расположенных в Spaser ANICS. Для определения принадлежности адреса вы можете воспользоваться протоколом WHOIS;
• Предупреждения о возможных DDoS-атаках на Spaser;
• Сообщения о применении фишинга и других техник социальной инженерии;
• Отчеты сканеров безопасности;
• Информацию об IP-адресах, DNS-записях и открытых портах Spaser;
• Информацию об использовании устаревшего или потенциально уязвимого ПО, полученную методом Banner grabbing;
• Сообщения об ошибках нулевого дня в TLS.

За сообщение об ошибке в работе сервисов, расположенных на доменах night.spaser.pw, player.spaserrus.ru, share.spaser.pw и static.spaser.pw, вознаграждение выплачивается, только если это уязвимость вида «Инъекции» или «Ошибки конфигурации веб-окружения».

Вознаграждение за обнаружение уязвимостей видов XSS и СSRF выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий.

Что произойдет после отправки сообщения об уязвимости?

После отправки сообщения вы получите автоматически сгенерированное письмо с номером вашей заявки — это означает, что Spaser получил ваше сообщение об ошибке. Если вы хотите сообщить нам дополнительную информацию об уязвимости, напишите об этом прямо в ответе на полученное письмо.

Наши специалисты обработают ваше обращение и при необходимости свяжутся с вами для уточнения деталей. Максимальный срок обработки заявки — 45 рабочих дней.

В случае присуждения награды мы попросим вас прислать реквизиты, необходимые для денежного перевода.

Обращаем ваше внимание на то, что Spaser награждает пользователя, который первым сообщил о проблеме. Если вы обнаружили уязвимость — сообщите нам об этом как можно скорее.

Можно ли получить вознаграждение на счет в PayPal или другой электронной платежной системе?

Spaser выплачивает вознаграждение через банковские переводы. Участники — нерезиденты РФ и иностранные граждане получают вознаграждение в долларах США по текущему курсу ЦБ РФ.