Создай анкету
или
войди через социальную сеть

Программа MyLove Bug Bounty

MyLove представляет программу Bug Bounty, целью которой является поиск возможных уязвимостей нашего сервиса.

Участие в программе

Попытайтесь найти баги в веб-сервисе MyLove и мобильных приложениях для iOS, Android и WindowsPhone.

К их числу могут относиться:

  1. Межсайтовый скриптинг (XSS), кроме Self-XSS;
  2. Межсайтовая подделка запросов (CSRF);
  3. Инъекции программного кода и операторов SQL;
  4. Уязвимости в управлении сессией;
- Ознакомьтесь с Принципами ответственного раскрытия
- Используйте Пункт приема багов, чтобы указать на найденную уязвимость
- Примите заслуженное вознаграждение!

Рассматриваются только реальные, а не теоретические уязвимости или результаты автоматических тестов. Участник должен продемонстрировать шаги, приводящие к воспроизведению уязвимости.

К участию в программе не допускаются действующие и бывшие сотрудники компании, их знакомые и родственники.

Размер вознаграждения

Мы разделяем наши сервисы на критические и остальные. К критическим сервисам относятся авторизация пользователя, система хранения личных данных пользователя и системы оплаты услуг.

Критические сервисы:

  1. Инъекции программного кода и операторов SQL – 50 000 р.;
  2. Межсайтовый скриптинг (XSS) – 10 000 р.;
  3. Межсайтовая подделка запросов (CSRF) – 10 000 р.;
  4. Уязвимости в управлении сессией – 5 000р.;

Остальные сервисы:

  1. Инъекции программного кода и операторов SQL – 25 000 р.;
  2. Межсайтовый скриптинг (XSS) – 5 000 р.;
  3. Межсайтовая подделка запросов (CSRF) – 5 000 р.;
  4. Уязвимости в управлении сессией – 2 500р.;
В особых случаях размер выплаты за найденную уязвимость может быть увеличен. Оплата гражданам России производится через систему WebMoney. Обращаем ваше внимание, что вознаграждение получает только первый сообщивший о найденной уязвимости.

Не рассматриваются следующие случаи

  • "Теоретические" уязвимости без демонстрации реального применения на нашем сервисе
  • Уязвимости, требующие физический доступ к устройству пользователя, его email, сети подключения (в т.ч. беспроводной) или требующие jailbrake устройства
  • Отчёты сканеров безопасности или аналогичных инструментов
  • Советы по внедрению “best practices” разработки ПО
  • Сообщения о некорректных почтовых настройках, например SPF records, DMARK policies и других
  • Проверка наличия данных о юзере в нашей базе через формы регистрации, авторизации или восстановления
  • Авторизация в один клик из рассылаемых писем
  • Сообщения об уязвимостях, когда реализация уязвимости требует наличие другой уязвимости без предоставления аналогичных данных о ней
  • Открытые редиректы (кроме случаев, когда вы можете продемонстрировать реальную опасность для наших пользователей на сервисе)
  • Framing, clickjacking, tapjacking
  • Logout CSRF
  • Self-XSS;
  • Уязвимости, которые воспроизводятся только в устаревшем пользовательском ПО и не воспроизводятся в последних версиях
  • Обход Captcha при помощи систем распознавания текста
  • Атаки, основанные на социальной инженерии или фишинге


Принципы ответственного раскрытия

Мы ожидаем следование принципам ответственного раскрытия от исследователей, взявшихся за поиск уязвимостей на сервисе MyLove. Это означает что лицо, обнаружившее уязвимость и сообщившее о ней посредством формы, обязуется не разглашать информацию об уязвимости третьим лицам в течение времени, которое требуется для ее устранения. Участник программы по поиску уязвимостей не должен в какой-либо форме раскрывать данные, доступ к которым был получен в результате его исследований. К их числу мы относим персональные данные пользователей, а также иные сведения, способные затруднить работу сервиса MyLove. В процессе исследования данные реальных пользователей сервиса не должны быть скомпрометированы - автор должен использовать свои учётные записи для поиска и демонстрации атаки.