Оферта Тестировщика — BugHunters

BugHunters

Юридическая документация на сервис BugHunters

Оферта Тестировщика

Дата последнего редактирования: 16 апреля 2024 года.

Настоящая Оферта Тестировщика (далее — «Оферта») действует в отношении всех Тестировщиков экосистемы EasyX (далее — «Компания»). Оферта определяет взаимоотношения между Компанией и Тестировщиками, порядок регистрации Отчетов и условия Вознаграждения Тестировщиков.

1. Предмет Оферты, сроки её действия, вознаграждение

1.1. В случае обнаружения уязвимостей любого рода мы предлагаем Вам сообщить о них на платформе BugHunters, расположенной по доменному имени bughunters​.easyx​.ru.

1.2. Лица, которые первыми найдут и сообщат об уязвимости, в рамках условий настоящей Оферты, получат денежное вознаграждение. Минимальное и максимальное вознаграждение за найденную уязвимость составляет 1 рубль и 50.000 рублей соответственно.

1.3. Оферта является бессрочной и действует до дня, следующего за днем размещения на Сайте соответствующей редакции. Компания вправе отменить Оферту в любое время без объяснения причин.

1.4. Все суммы указаны до вычета налога на доходы физических лиц.

1.5. Максимальный размер вознаграждения будет зависеть только от критичности обнаруженной проблемы и оцениваться уполномоченными сотрудниками Компании самостоятельно, принимая во внимание следующие критерии:

1.5.1. качество отчета;

1.5.2. возможность эксплуатации уязвимости;

1.5.3. тип сервиса, в котором обнаружена уязвимость;

1.5.4. оценка финансовых, репутационных и других рисков, связанных с наличием уязвимости.

1.6. Вознаграждение выплачивается в течение 180 календарных дней с момента подтверждения наличия и исправления уязвимости уполномоченными сотрудниками Компании, переводом денежных средств на указанный в специальной форме в личном кабинете, расположенном по адресу https://​bughunters​.easyx​.ru/​w​allet, банковский счет.

1.7. Компания выступает источником дохода в отношении тестировщиков (физических лиц), в связи с чем выполняет обязанности налогового агента. При исчислении вознаграждения Компания будет удерживать НДФЛ в соответвии с настоящим налоговым законодательством Российской Федерации.

1.8. При нарушении требований настоящей Оферты, результаты могут быть аннулированы. Вознаграждение в таком случае не выплачивается.

2. Обязательные условия Оферты

2.1. Не разглашать сведения об уязвимостях публично и не передавать сведения третьим лицам за исключением других тестировщиков. Публичное или частное раскрытие сведений о любой уязвимости, обнаруженной в рамках настоящей Оферты, разрешено через 30 дней после устранения этой уязвимости и только с согласия Компании.

2.2. Любая конфиденциальная информация, случайно полученная в ходе поиска уязвимостей или демонстрации, не должна раскрываться. Эта информация включает (но этим не ограничивается): сведения об инфраструктуре, интерфейсах и деталях реализации, внутреннюю документацию, исходный код, данные пользователей и сотрудников. Преднамеренный доступ к этой информации строго запрещен и может быть признан незаконным.

2.3. Участниками данной программы не могут являться сотрудники Компании (действующими или бывшими), а равно аффилированными с ними лицами.

2.4. Не использовать обнаруженную уязвимость для своей собственной и/​или иной выгоды, за исключением выгоды самого выгодоприобретателя. Выгодоприобретателем в рамках настоящей Оферты является сама Компания. Данное требование включает демонстрацию дополнительных рисков, попытка раскрыть конфиденциальные данные или найти другие уязвимости.

2.5. Не использовать инструменты тестирования уязвимостей, которые автоматически генерируют значительные объемы и/​или частоту сетевого трафика.

2.6. Не осуществлять атаки, которые могут нанести вред надёжности и/​или целостности служб/​сервисов Компании или данных (атаки типа «отказ в обслуживании» и другие).

2.7. Если необходимо, использовать свои собственные учетные записи для поиска уязвимостей. Не взаимодействовать с другими учетными записями без разрешения их владельцев.

3. Область обнаружения уязвимостей в рамках настоящей Оферты

3.1. В область обнаружения уязвимостей входят:

3.1.1. Сервисы, расположенные на доменных именах: easy​launch​er​.org, easy​laun​.ch (и их субдоменах).

3.2. Область действия Оферты ограничена исключительно техническими уязвимостями в наших сервисах, веб-приложениях и программных обеспечениях. Любая уязвимость дизайна или реализации, которая существенно влияет на конфиденциальность или целостность данных, вероятно, будет применима к настоящей Оферте. Примеры релевантных уязвимостей:

3.2.1. удаленное исполнение кода на стороне сервера;

3.2.2. уязвимости в реализации протоколов аутентификации или авторизации;

3.2.3. уязвимости бизнес-логики;

3.2.4. CSRF-уязвимости;

3.2.5. XSS-уязвимости;

3.2.6. SQL-инъекции.

3.3. Список может быть дополнен Компанией в любое время в рамках сроков проведения программы.

4. Требования к отчетам об уязвимостях

4.1. В аналитику Компанией принимаются отчеты на русском или английском языках.

4.2. Регистрируя отчет об уязвимостях, вы автоматически соглашаетесь с условиями настоящей Оферты и политики конфиденциальности сервисов EasyX, расположенной по адресу https://​legal​.easyx​.ru/​g​e​n​e​r​a​l​/​p​r​ivacy.

4.3. Регистрация отчета производится на сайте платформы BugHunters, расположенном по адресу https://​bughunters​.easyx​.ru/​r​e​p​o​r​t​/​c​reate (ссылка доступна только участникам Кампании).

4.4. Отчет должен содержать подробное описание обнаруженной уязвимости:

4.4.1. уязвимые узлы и компоненты;

4.4.2. операционная(-ые) система(-ы), на которых воспроизводится уязвимость;

4.4.3. этапы воспроизведения (шаг за шагом, в правильном порядке);

4.4.4. сценарий атаки (как злоумышленник может использовать обнаруженную Вами уязвимость);

4.4.5. ожидаемый результат;

4.4.6. фактический результат;

4.4.7. логи (если есть);

4.4.8. скриншоты (если есть).

4.5. Отчеты, которые четко и лаконично идентифицируют затронутый компонент, описывают сценарий атаки и включают этапы воспроизведения, рассматриваются более оперативно.

4.6. Компания не принимает и не рассматривает отчеты, сгенерированные автоматическими сканерами уязвимостей, а также отчеты о:

4.6.1. CSRF-уязвимостях для некритичных действий (logout и другие);

4.6.2. язвимостях типа Self-XSS без демонстрации реального воздействия на безопасность пользователей или систем;

4.6.3. отсутствии SSL/TLS, использовании небезопасных шифров SSL/TLS;

4.6.4. атаках, требующих полного доступа к паролям, токенам, профилю браузера или локальной системе;

4.6.5. раскрытии некритичной информации (такой, как версия продукта, протокола и т.д.);

4.6.6. ошибках, которые не затрагивают последние версии современных браузеров и ошибках, связанных с расширениями браузеров;

4.6.7. атаках типа «отказ в обслуживании» или уязвимостях, связанных с ограничением частоты запросов;

4.6.8. ошибках в содержании/​сервисах, которые не принадлежат или не управляются Компанией (сюда входят сторонние службы, такие как платежная форма банка);

4.6.9. уязвимостях, которые Компания определяет, как уязвимости с приемлемым уровнем риска;

4.6.10. явных ошибках в работе сервисов.

Предыдущая версия документа https://legal.easyx.ru/bughunters/offer/1 18 декабря 2022 года

Содержание документа:
1. Предмет Оферты, сроки её действия, вознаграждение 2. Обязательные условия Оферты 3. Область обнаружения уязвимостей в рамках настоящей Оферты 4. Требования к отчетам об уязвимостях