Мы уверены, что обратная связь — один из главных способов делать сервисы не только удобнее, но и безопаснее. Если хочешь, чтобы защита была по-настоящему эффективной, — дай проверить ее на прочность исследователям.
Mail.Ru Group объявляет о старте программы поиска уязвимостей: теперь мы будем выплачивать награды за обнаружение проблем в безопасности наших проектов. Программа будет реализовываться вместе с одним из самых авторитетных в мире хакерских коммьюнити HackerOne.
Первым шагом реализации совместной программы Mail.Ru Group и HackerOne станет конкурс на выявление уязвимостей. Сообщения о них можно отправлять в течение месяца: с 21 апреля по 20 мая 2014 года. Затем аналитики информационной безопасности Mail.Ru Group обработают все заявки и 21 мая 2014 года назовут имена (или псевдонимы) победителей.
Трое лучших исследователей, которые найдут наиболее критичные уязвимости, получат бонусное денежное вознаграждение:
- 1 место — 5 тыс. долларов
- 2 место — 3 тыс. долларов
- 3 место — 1,5 тыс. долларов
Вознаграждение также получат остальные участники конкурса. Минимальная награда за найденную уязвимость составит $150. Потолка нет — размер награды будет зависеть только от критичности обнаруженной проблемы.
За какие уязвимости можно получить награду?
Сейчас награда выплачивается за обнаружение уязвимостей на следующих веб-сервисах Mail.Ru Group:
Почта Mail.Ru
e.mail.ru
*.e.mail.ru
touch.mail.ru
*.touch.mail.ru
m.mail.ru
*.m.mail.ru
Облако Mail.Ru
cloud.mail.ru
*.cloud.mail.ru
Календарь Mail.Ru
calendar.mail.ru
*.calendar.mail.ru
Mail.Ru для бизнеса
biz.mail.ru
*.biz.mail.ru
Авторизационный центр Mail.Ru
auth.mail.ru
*.auth.mail.ru
swa.mail.ru
*.swa.mail.ru
А также в мобильных приложениях Mail.Ru Group для iOS и Android, которые так или иначе работают с личной информацией пользователей:
Почта Mail.Ru для iOS
Почта Mail.Ru для Android
Календарь Mail.Ru для Android
Облако Mail.Ru для iOS
Облако Mail.Ru для Android
Со временем к этому списку могут добавиться и другие проекты Mail.Ru Group.
Что остается за рамками нашей программы?
Если вы нашли уязвимость на одном из проектов, который не входит в список, ваша заявка тоже будет рассмотрена. В этом случае награда присуждается в индивидуальном порядке и сильно зависит от серьезности обнаруженной проблемы.
Вознаграждение не выплачивается за информацию, полученную с помощью:
- физического взлома дата-центов или офисов Mail.Ru Group
- взлома инфраструктуры компании
- социальной инженерии
Проводя исследования, пожалуйста, используйте собственные аккаунты. Не пытайтесь получить доступ к чужим аккаунтам или какой-либо конфиденциальной информации.
Если вы хотите сообщить не об уязвимости, а о проблемах с доступом к аккаунту, обратитесь в нашу службу поддержки.
Уязвимость нашлась — что дальше?
А дальше необходимо багрепорт через сайт наших партнеров – сообщества HackerOne.com, где вам нужно будет создать свой аккаунт. Именно там вы сможете общаться с аналитиками информационной безопасности Mail.Ru Group, проверять статус своей заявки, получить информацию о своей награде (если она, конечно, будет присуждена именно вам), при необходимости ответить на уточняющие вопросы и так далее.
В багрепорте нужно дать подробное описание найденной уязвимости. Еще необходимо кратко, но понятно указать, какие шаги приводят к тому, чтобы с ней столкнуться, или дать рабочее подтверждение своей концепции. Ведь если уязвимость не будет описана во всех необходимых подробностях, процесс раскрытия сильно затянется.
Также очень желательно, чтобы исследователь мог объяснить, каким именно образом он нашел ту или иную уязвимость.
В первую очередь интересны:
- Cross-Site Scripting
- SQL Injection
- Remote Code Execution
- Cross-Site Request Forgery
- Directory Traversal
- Information Disclosure
- Content Spoofing
- Clickjacking
Если вы предпочитаете сохранять свое имя в тайне, можете пользоваться псевдонимом при подаче баг-репортов.
Как рассматриваются багрепорты?
Сообщения об уязвимостях, которые нужно подавать через платформу HackerOne.com, рассматривают аналитики информационной безопасности Mail.Ru Group. В ходе оценки мы всегда представляем себе худший сценарий эксплуатации уязвимости и выплачиваем награду, исходя из размера ущерба. Чем больше ущерб, тем больше награда.
Сообщения рассматриваются в течение 15 дней (это максимальный срок — скорее всего, вы получите ответ быстрее).
Награды исследователям и обратная связь
Вся обратная связь по заявкам, а также выплаты будут осуществляться через систему проекта HackerOne.
Награда присуждается, если вы первый, кто сообщил о данной уязвимости. В противном случае вам будет предоставлен доступ к тикету с ее описанием, чтобы вы могли отслеживать статус ее исправления.
С момента сообщения об уязвимости должно пройти не менее 3 месяцев, прежде чем вы сможете опубликовать её детали. Мы просим вас об этом, потому что нам нужно иметь достаточное количество времени, чтобы ответить вам и исправить уязвимость.
Сообщение о том, что указанная вами уязвимость подтвердилась, а также информация о присуждении награды будет появляться в вашем багрепорте. Там же могут быть заданы уточняющие вопросы, так что не забывайте проведывать свой тикет!
Итак, получить более подробную информацию о программе поиска уязвимостей Mail.Ru Group и подать заявку можно по ссылке: https://hackerone.com/mailru.