Topic: Вознаграждение за поиск уязвимостей (Read 16285 times)

По сути то поиском багов и занимаются ради того, чтобы на этом заработать. Исключением являются - альтруисты, коих единицы, вредители и конкуренты. И почему-то мне кажется, с таким условием, количество желающих находить уязвимости форума значительно подубавится.

Ха действительно. По идее да. А может имеется ввиду что если твоя уязвимость нанесет уж очень тяжелые разрушения форума, то для восстановления форума понадобится бабло и вот твое вознаграждение пойдет на восстановление повреждений которая сделала найденная тобой и примененная уязвимость. Или часть вознаграждения, смотря сколько потратят. Ведь копии форума чтобы проверить эту уязвимость я так понимаю нет и придется экспериментировать на живом форуме. Я так думаю.

Очень итнересный пункт. То есть, тот, кто нашел действительно серьезную уязвимость (которая может значительно повлиять на работу форума) может не получить награду вообще . Казалось должно работать наоборот...

Все вопросы задавайте в оригинальном топике Security bounties. Этот топик просто перевод англоязычного топика.

Хочу спросить как на счет такой уязвимости как недоступность форума для всех пользователей? (не досс атака - это старая пластинка.) У вас есть зеркальный стенд или все исключительно на офе предлагаете делать. Если так смотреть с вас только и шкуру тянут для своих форумов. Также хочу узнать про оплату - она производиться до или после передачи своих инструментов? Предпочитаю скрины или видео для отчета.

То есть ловушка такая своеобразная, - в раздел для баунти один раз зашёл, даже если случайно, и твой ip навсегда сохранён? А пользователи с VPN и Tor сразу отсекаются...
Очевидно, что вы по сути предлагаете из-за проблем любителей баунти значительно снизить гарантии конфиденциальности и анонимности для пользователей форума в целом, но, просто очевидно, что этого не будет сделано.

Форум предлагает вознаграждение за обнаружение уязвимостей в системе безопасности форума.

Мы предлагаем крупные вознаграждения за важные сообщения об уязвимостях в системе безопасности на bitcointalk.org. В прошлом мы выплатили более $19 000 в качестве вознаграждения.

Ниже приведены суммы в долларах США, но мы выплачиваем вознаграждения только в биткоинах.

Ориентировочные суммы вознаграждения

Сумма вознаграждения варьируется в зависимости от того, что позволяет делать уязвимость:

• $50 000: Если вы сможете произвольно получить доступ к ЛС любого пользователя, без какого-либо взаимодействия с ним и без каких-либо секретных данных, таких как пароли пользователей.
• $20 000: Если вы сможете получить доступ к адресу электронной почты произвольного пользователя (если он скрыт), хэшу пароля, журналу просмотренных тем или журналу IP-адресов; без какого-либо взаимодействия с пользователем и без каких-либо секретных данных, таких как пароли пользователей. Если у вас уже есть адрес электронной почты, то сопоставление его с пользователем не является ошибкой.
• $10 000: Если вы сможете незаметно редактировать произвольные сообщения или личные сообщения пользователей форума. Компрометация аккаунта модератора не считается.
• $2 000: Если вы предложите пользователю ссылку и он нажмёт на неё, и, вследствие этого, вы сможете получить доступ к его аккаунту автоматически, без каких-либо дальнейших действий с его стороны, кроме простого посещения одной ссылки. Фишинговые сайты не считаются; это должна быть какая-то атака типа CSRF. Вы не можете исходить из того, что у вас есть какие-либо секретные данные о пользователе, например, его сессионный cookie.
• $2 000: Если обычный пользователь без специальных прав сможет постоянно внедрять JavaScript в страницу. Если вы будете использовать более привилегированный аккаунт пользователя, сумма награды уменьшается вдвое, а если эти действия будут исходить от имени администратора, награда не присуждается.
• $1 000: Если вы сможете перемещать или удалять сообщения любого другого пользователя форума.

Если уязвимость, которую вы найдёте, позволит вам делать несколько перечисленных действий одновременно, то вы получите только самую высокую награду. Если вы пришлёте нам несколько уязвимостей в коде движка форума, общая стоимость которых за 1 год превысит $200 000, мы оставляем за собой право ограничить вашу выплату до $200 000; после этого вам следует заранее согласовать с нами количество выполняемых действий, которое можно выполнить с помощью найденной уязвимости, чтобы мы могли оплатить это количество.

На наше усмотрение мы можем принять решение о выплате премий за другие типы уязвимостей в безопасности, не перечисленные выше, а также за проблемы безопасности, которые не являются ошибками в программном обеспечении. Однако не стоит ожидать каких-либо выплат за проблемы, не связанные с безопасностью. Мы также обычно не присуждаем награды за проблемы, связанные с отказом в обслуживании. Если найденная вами уязвимость не совсем точно подпадает под вышеуказанные категории, то мы, скорее всего, заплатим сумму, которая покажется нам подходящей; например, если вы сможете получить доступ к IP-адресам 10% пользователей вследствие каких-либо определенных действий с аккаунтами этих пользователей, возможно, мы выплатим половину от $20 тыс. вознаграждения.

Если вы сможете скомпрометировать один или даже много аккаунтов по вине пользователя, например, из-за использования слабого пароля или одноразового почтового сервиса, то это, как правило, не вознаграждается, даже если вы скажете, что bitcointalk.org может принять меры для смягчения последствий атаки.

Мы хотели бы создать репутацию компании, которая платит справедливые, разумные суммы за полезные сведения, а не устанавливает правила и не обманывает людей, но вопрос о том, платить ли нам и в каком размере, всегда остается исключительно на наше усмотрение.

Необходимые требования

• Вы должны сообщить об обнаруженной уязвимости по адресу электронной почты, указанному на странице контактов. Вы не должны публиковать сведения об обнаруженной уязвимости где-либо еще или передавать эти сведения кому-либо еще.
• Ваше сообщение должно быть нацелено на немедленное принятие мер и решение проблемы с bitcointalk.org. Если ваше сообщение настолько расплывчато, что нам придется нанять человека, чтобы определить, существует ли предоставленная вами уязвимость на самом деле, то оно не годится. Если мы не можем посмотреть на код и увидеть уязвимость меньше, чем за час, то, как правило, вам потребуется доказательство концепции. Вы должны убедить нас, что нам нужно что-то исправить; если вы не сможете убедить нас, то вы не получите награду, даже если эта уязвимость может быть использована впоследствии.
• Награду получит только тот, кто первым расскажет нам об уязвимости (и убедит нас в том, что она существует).
• Если проверка уязвимости приведет к значительным нарушениям в работе форума, ваша награда может быть уменьшена или отменена.
• В некоторых случаях могут потребоваться кое-какие личные данные, это может быть необходимо по налоговым соображениям.