Spaser выплачивает награды за обнаружение проблем в безопасности своих сервисов и приложений. Любой желающий может попытаться найти уязвимость, сообщить нам об этом и получить денежный приз.

1. Где искать

В инфраструктуре, веб-сервисах, в мобильных приложениях Spaser для устройств на iOS и Android, которые так или иначе работают с личной информацией пользователей. Личная информация — это, например, логины и пароли, переписка, фото- и видеоальбомы.

Веб-сервисы: на доменах imspb.ru, spaser.pw, spaserrus.ru.

Мобильные приложения: ANICS. Кабинет, Talon, Spaser AUR, Spaser EMail, ANICS.Реклама, ANICS.Календарь.

Инфраструктура: вся автономная система Spaser за исключением адресов внешних проектов, расположенных в инфраструктуре Spaser.

2. Куда и как сообщать

Отправлять сообщения об ошибках лучше всего на [email protected]: так Spaser сможет быстрее обработать присланную информацию и ответить вам.

3. Что искать

Уязвимости — технические недостатки, с помощью которых можно нарушить целостность или конфиденциальность пользовательской информации, а также изменить права доступа к ней.

В качестве классификации уязвимостей для веб-сервисов используется OWASP Top 10 2017 года, для мобильных приложений — OWASP Mobile Top 10 2016 года.

• Remote Code Execution (RCE)
• SQL Injection
• Local-Remote File Inclusion (LFI/RFI)
• XML External Entity (XXE)
• Broken Authentication (обход 2FA, и т.д.)
• Sensitive Data Exposure
• Cross-Site Scripting (XSS)
• Security Misconfiguration
• Using Components with Known Vulnerabilities (с примерами)
• Server Side Request Forgery (SSRF)
• Сross Site Request Forgery (CSRF)
• Insecure Direct Object References (IDOR)
• Flood-control bypass
• Privacy bypass
• Other Injections

В зависимости от уровня опасности и качества отчета цена вознаграждения может меняться, ниже указан ориентировочный уровень вознаграждений.

4. Размеры наград

Награды для различных уязвимостей составляют:

Уязвимость	Размер награды
Remote Code Execution (RCE), server-side	16 000 $
Remote Code Execution (RCE), mobile app	4 000 $
SQL Injection (SQLi)	11 500 $
Local/Remote File Inclusion (LFI, RFI)	2 250 $
XML External Entity (XXE)	2 250 $
Server-Side Request Forgery (SSRF)	2 250 $
Server-Side Request Forgery (SSRF), blind	2 250 $
Insecure Direct Object Reference (IDOR)	750 $
Cross-Site Scripting (XSS)	750 $
Open Redirect	225 $

Награды для разного уровня угроз составяют:

Уровень угроз	Размер награды
критический уровень	до 20 000 $
высокий уровень	до 10 000 $
средний уровень	до 5 000 $
низкий уровень	до 500 $

Суммы вознаграждения указаны в описании только для справки. Применимость вознаграждения и его размер могут зависеть от серьезности проблемы, новизны, вероятности использования, окружения и/или других факторов. Решение о вознаграждении принимается командой безопасности Spaser для каждого сообщения индивидуально.

Оплата уязвимостей, не перечисленных в таблице «Размеры наград» присуждается на усмотрение Spaser.

5. Ограничения и политика ответственного разглашения

Spaser вручает награды только за обнаружение новых уязвимостей.

«Охотниками» могут пользователи в возрасте от 14 лет. При этом те, кто младше 18, принимают участие только с письменного согласия родителей.

Сотрудники Spaser или компаний-партнёров, а также авторы кода, в котором обнаружена уязвимость, не могут участвовать в «Охоте».

Для тестирования и демонстрации уязвимостей можно использовать только свою учётную запись ANICS. Взламывать чужие учётные записи ANICS ни в коем случае нельзя.

В течение 90 дней после отправки сообщения об ошибке о ней нельзя никому и нигде рассказывать. Также, пожалуйста, не размещайте код обнаруженной уязвимости на публично доступных сервисах и ресурсах, чтобы информация не стала доступна третьим лицам.

6. Вопросы и ответы

За какие уязвимости награда не вручается?

Spaser не выплачивает вознаграждение за:

• Сообщения от сканеров безопасности и других автоматических систем;
• Сообщения об уязвимости, основанные на версиях ПО/протокола, без указания реального применения;
• Сообщения об уязвимостях, найденных на сторонних сайтах и сервисах, взаимодействующих со Spaser;
• Сообщения об уязвимости паролей и других аутентификационных данных пользователей;
• Сообщения об отсутствии механизма защиты или несоответствия рекомендациям (например, отсутствие CSRF токена) без указания на реально существующие негативные последствия;
• Logout CSRF;
• Self-XSS;
• Framing;
• Clickjacking;
• Гомографические атаки IDN;
• Атаки, требующие полного доступа к кабинету пользователя или профилю браузера;
• Уязвимости в партнерских сервисах, продуктах и внешних проектах, расположенных в Spaser ANICS, которые непосредственно не затрагивают безопасность сервисов компании. Для определения принадлежности адреса вы можете воспользоваться протоколом WHOIS;
• Информацию об использовании устаревшего или потенциально уязвимого ПО, полученную методом Banner grabbing;
• Сообщения об ошибках нулевого дня в TLS.

Строго запрещены:

• DDoS атаки;
• Получение физического доступа к серверам/инфраструктуре;
• Угрозы/причинение вреда сотрудникам компании.

Вознаграждение за обнаружение уязвимостей видов XSS и СSRF выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий.

Что произойдет после отправки сообщения об уязвимости?

После отправки сообщения вы получите автоматически сгенерированное письмо с номером вашей заявки — это означает, что Spaser получил ваше сообщение об ошибке. Если вы хотите сообщить нам дополнительную информацию об уязвимости, напишите об этом прямо в ответе на полученное письмо.

Наши специалисты обработают ваше обращение и при необходимости свяжутся с вами для уточнения деталей. Обычно это происходит в течении 5 рабочих дней (но обычно сильно быстрее). Максимальный срок обработки заявки — 10 рабочих дней.

В случае присуждения награды мы попросим вас прислать реквизиты, необходимые для денежного перевода.

Награда прямо пропорционально зависит от серьезности уязвимости и детализации описания в отчете.

Spaser негативно относимся к эксплуатации найденных уязвимостей, что означает полный отказ в выплате награды за нее.

Обращаем ваше внимание на то, что Spaser награждает пользователя, который первым сообщил о проблеме. Если вы обнаружили уязвимость — сообщите нам об этом как можно скорее.

Можно ли получить вознаграждение на счет в PayPal или другой электронной платежной системе?

Spaser выплачивает вознаграждение через банковские переводы. Вознаграждение выплачивается в долларах США компанией Spaser B.V. или её дочерними компаниями.
Для резидентов Российской Федерации и Республики Беларуси вознаграждение выплачивается АО «Спэйсэр» или её дочерними компаниями в российских рублях эквивалентой вознаграждению в долларах США по курсу ЦБ РФ.