Bug Bounty Program 🐛

Правила

• Тестовые аккаунты, окружение или другой дополнительный доступ не предусмотрен
• В рамках программы Bug Bounty принимаются и оплачиваются только отчёты об уязвимостях, ранее неизвестных команде безопасности сервиса
• Суммы вознаграждения указаны ориентировочно и не являются гарантией выплаты. Решение о вознаграждении принимается в индивидуальном порядке
Оплата уязвимостей производится на усмотрение владельца программы
• Официальный канал связи: security@donatov.net
• Пожалуйста, добавляйте следующий HTTP-заголовок ко всем исходящим запросам для идентификации трафика — X-Donatov-Bug-Bounty: {username}

Запрещается

• Проводить агрессивные действия, вызывающие отказ в обслуживании
• Использовать социальную инженерию
• Превышать 10 запросов в секунду при использовании сканеров
• Физически вмешиваться в инфраструктуру
• Отправлять отчёты по неофициальным каналам

Мы не принимаем

• Отчёты от автоматических сканеров
• Раскрытие версий ПО или ошибок без чувствительной информации
• Раскрытие публичной информации пользователей
• Теоретические уязвимости без подтверждения
• Сообщения об отсутствии best practices без реального воздействия
• Политики SPF и DMARC
• CSRF logout
• Отсутствие SSL на сторонних продуктах
• Open redirect без влияния на безопасность
• Отражённые данные без вреда UI или поведению
• Reflected download и site scripting без явного вреда
• CSP-отчёты для доменов без CSP
• Инъекции формул в Excel / CSV
• Атаки, требующие локального доступа
• Сценарии с зависимостью от сторонних уязвимостей
• Атаки без POC
• Возможность массовой отправки сообщений
• Спам / вредоносные файлы
• Неиспользуемые или ограниченные JS API ключи
• Действия вне UI без угрозы безопасности
• Брутфорс на страницах входа
• Спам через OTP, email и прочее
• Уязвимости, требующие социальной инженерии

Область действия программы

  • donatov.net и все поддомены (за исключением notify)
  • donatov.blog и все поддомены

Определение критичности уязвимости

Команда безопасности Donatov.net самостоятельно определяет уровень критичности и размер вознаграждения, исходя из:

• Влияния на безопасность
• Репутационных рисков
• Бизнес-рисков
• Сложности эксплуатации
• Вероятности использования
• Иных факторов

Примерные уровни вознаграждения:

Критический — 80 000 – 200 000 ₽
Высокий — 40 000 – 80 000 ₽
Средний — 10 000 – 40 000 ₽
Низкий — 0 – 10 000 ₽