BugHunt

+7 (861) 279-32-00

Сервис по разработке документов DocShell (ЗАВЕРШЕНА)

http://www.docshell.ru/
Зарегистрировано участников:
57
Срок действия:
с 24.03.2014 по 30.04.2014
Призовой фонд:
100 000 руб.
Я хочу принять участие в программе

Программа вознаграждения за найденные уязвимости на интернет-сайте www.docshell.ru

версия 0.3

Преамбула

Настоящая программа вознаграждения за найденные уязвимости размещена на Сервисе BugHunt в сети Интернет по адресу: www.bughunt.ru.

Программа регулирует порядок и условия выплаты ООО "РосИнтеграция" (далее – Организатор) вознаграждения за обнаруженные уязвимости Интернет-ресурса www.DocShell.ru.

Целью программы вознаграждения за найденные уязвимости является проведение анализа защищённости и контроля эффективности защиты информации Объекта исследований, а также выявление уязвимостей программного обеспечения и ошибок конфигурации средств обработки информации и средств защиты информации.

1. Термины

1.1. Программа вознаграждения за найденные уязвимости (Программа) – публичное обещание выплаты награды на предусмотренных в настоящем документе условиях, за предоставление Организатору посредством Сервиса BugHunt информации об уязвимостях Объекта исследований.

1.2. Объект исследований – Интернет-ресурс Организатора, указанный в п. 2.1. Программы, принадлежащий Организатору на предусмотренных законодательством Российской Федерации правах.

1.3. Сервис BugHunt – комплекс информационных и технических решений, размещенный в Сети Интернет по адресу http://www.bughunt.ru, обеспечивающий взаимодействие Организатора с Исследователями через электронные каналы связи.

1.4. Оператор Сервиса BugHunt – Общество с ограниченной ответственностью «РосИнтеграция».

1.5. Исследователь – лицо, осуществившее предусмотренные условиями Программы действия по предоставлению Организатору посредством Сервиса BugHunt информации об уязвимостях Объекта исследования.

1.6. Уязвимость – технический недостаток Объекта исследования, который может быть использован для реализации угроз информационной безопасности.

1.7. Форма уведомления – форма уведомления об обнаруженных уязвимостях Объекта исследования, включающая информацию об обнаруженных уязвимостях, информацию о Программе, в которой были обнаружены уязвимости, информацию, позволяющую идентифицировать Исследователя, обнаружившего уязвимости.

1.8. Общий призовой фонд – общая сумма вознаграждения за предоставление информации об уязвимостях, предусмотренная Программой, по исчерпании которой публичное обещание выплаты награды прекращается.

2. Общие сведения

2.1. Объектами исследований по Программе являются:

Информационный портал Организатора, расположенный в сети Интернет по адресу www.docshell.ru.

2.2.         Сроки проведения Программы.

Срок проведения Программы истекает (информация об уязвимостях от Исследователей перестает приниматься) при наступлении более раннего из следующих событий:

  •  Вознаграждение по Программе выплачивается за информацию об уязвимостях, направленную Исследователями посредством Сервиса BugHunt в течение 31 дня с момента размещения Программы на Сервисе BugHunt (включая день размещения Программы на Сервисе BugHunt). По истечении указанного срока, информация об уязвимостях от Исследователей не принимается.
  • Вознаграждение по Программе выплачивается за информацию об уязвимостях, направленную Исследователями посредством Сервиса BugHunt с момента размещения Программы на Сервисе BugHunt до момента исчерпания Общего призового фонда. Информация об остатке Общего призового фонда размещается на странице Программы на Сервисе BugHunt.
  • Программа прекращается (публичное обещание награды отменяется) в случае принятия уполномоченным государственным органом решения о включении Интернет-ресурса Организатора в «Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет» (далее – Единый реестр). Информация о принятии соответствующего решения размещается на Сервисе BugHunt. В этом случае, датой прекращения Программы признается дата вступления в силу указанного решения уполномоченного государственного органа. При этом Организатором выплачивается вознаграждение только за те уязвимости, информация о которых была получена Оператором Сервиса BugHunt до вступления в силу решения уполномоченного органа власти.

Истечение срока проведения Программы не освобождает Организатора от обязательств по выплате вознаграждения за уязвимости, отвечающие требованиям Программы, информация о которых получена Оператором Сервиса BugHunt в период действия Программы.

В случае принятия уполномоченным государственным органом решения о включении Интернет-ресурса Организатора в Единый реестр, срок проведения Программы приостанавливается до вступления указанного решения в законную силу, либо вступления в законную силу решения вышестоящего государственного органа власти либо решения суда об отмене решения о включении Интернет-ресурса Организатора в Единый реестр. Сведения о приостановке и возобновлении Программы размещаются на странице программы Сервиса BugHunt. Поступающая в период приостановки действия Программы информация об уязвимостях Оператором Сервиса BugHunt и Организатором не принимается, вознаграждение по ней не оплачивается.

2.3. Организатором Программы является ООО "РосИнтеграция"

Информация об Организаторе:

Адрес: 350063, Краснодар, ул. Мира, 26.

ИНН: 2311113226 КПП: 231101001

р/счет 40702810530000040556

кор/счет 30101810100000000602

БИК 040349602  (КРАСНОДАРСКОЕ отделение 8619 г.Краснодар, ул.Красных Партизан/Котовского, 489/103)

 

3. Условия и порядок участия в Программе

3.1 Обещание выплаты награды осуществлено в соответствии с законодательством Российской Федерации и направлено неопределенному кругу лиц.

3.2. Принимая участие в Программе, Исследователь дает Организатору и Оператору Сервиса BugHunt согласие на обработку его персональных данных на условиях и способами, предусмотренными Политикой конфиденциальности, размещенной в сети Интернет по адресу https://bughunt.ru/privacy, и Условиями использования Сервиса BugHunt, размещенными в сети Интернет по адресу:https://bughunt.ru/terms/. Совершение Исследователем указанных в Программе действий свидетельствует об ознакомлении Исследователя с Политикой конфиденциальности и Условиями использования Сервиса BugHunt, а также даче согласия на обработку его персональных данных.

3.3. Поиск и направление информации об уязвимостях Объекта исследования осуществляются исключительно в соответствии с условиями и в сроки, указанные в Программе.

3.4. Направление информации об уязвимостях производится Исследователем следующим образом:

3.4.1. Исследователь проходит процедуру регистрации/авторизации на Сервисе BugHunt. В целях обеспечения возможности выплаты вознаграждения, при прохождении процедуры регистрации, Исследователем указываются реквизиты, на которые должна быть произведена выплата вознаграждения.

3.4.2. С помощью пользовательского интерфейса на Сервисе BugHunt, Исследователь направляет детальную информацию о найденной уязвимости, позволяющую однозначно установить факт наличия уязвимости и алгоритм её возникновения, путем заполнения посредством Сервиса BugHunt Формы уведомления и направления ее Оператору Сервиса BugHunt.

3.5. По направленной Исследователем информации об обнаруженной уязвимости, Оператором Сервиса BugHunt проводится проверка ее соответствия требованиям Программы и актуальности. Проверка проводится в течение 10 рабочих дней с момента поступления информации об уязвимости Оператору Сервиса BugHunt.

3.6. По истечении указанного в п. 3.5 настоящей Программы срока, Оператор Сервиса BugHunt направляет Исследователю уведомление о принятии направленной информации, либо об отказе в ее принятии, с пояснениями причин такого отказа.

3.7. Информация об обнаруженных уязвимостях направляется Исследователем Организатору только с использованием Сервиса BugHunt. Информация об уязвимости, переданная Исследователем Организатору иными способами не принимается и не подлежит оплате.

3.8. В ходе проведения действий по обнаружению уязвимостей, Исследователь не вправе редактировать, удалять или иным способом изменять информацию, содержащуюся на Интернет-Ресурсе Организатора, осуществлять несанкционированные загрузки информации, изменение программных кодов и иные действия, которые влекут или могут повлечь за собой какой-либо вред Интернет-ресурсу Организатора.

4. Вознаграждение

4.1. За обнаруженные уязвимости Объекта исследования Организатор выплачивает Исследователям вознаграждение в соответствии с тарифами (приложение № 1 к Программе).

4.2. Вознаграждение выплачивается в течение 30 дней с момента окончания срока проведения Программы, указанного в п. 2.2. Программы.

4.3. В соответствии с положениями части 5 статьи 1055 Гражданского Кодекса Российской Федерации, вознаграждение за конкретную уязвимость выплачивается Исследователю, который первым направит информацию о такой уязвимости в установленном Программой порядке.

4.4. Вознаграждение выплачивается Организатором путем перечисления денежных средств на счет Исследователя, указанный в личном профиле Исследователя на Сервисе BugHunt. В случае отсутствия в личном профиле Исследователя информации о реквизитах, вознаграждение Исследователю за обнаруженные уязвимости не выплачивается.

4.5. Обязательства Организатора по выплате вознаграждения считаются исполненными с момента списания денежных средств с расчетного счета Организатора.

4.6. Вознаграждение по Программе выплачивается только при условии направления информации об обнаруженных уязвимостях способами и на условиях, предусмотренных Программой.

5.     Конфиденциальность

5.1. К конфиденциальной информации относится:

5.1.1. любая обнаруженная Исследователем информация об уязвимостях Интернет-ресурса Организатора;

5.1.2. любая размещенная на Интернет-ресурсе Организатора информация, которая не находится на момент проведения Программы в открытом доступе.

5.2. Исследователь, если иное прямо не предусмотрено Программой, не вправе осуществлять копирование, передачу, либо иное распространение конфиденциальной информации, полученной им в процессе осуществления действий по обнаружению уязвимостей.  

5.3. В случае выявления фактов копирования и(или) распространения Исследователем конфиденциальной информации, Исследователь несет ответственность в соответствии с действующим законодательством РФ.

6. Заключительные положения

6.1. Направление Исследователем информации о найденной уязвимости в порядке, предусмотренном Программой, означает безоговорочное согласие Исследователя со всеми условиями Программы.

6.2. Во всем, что не урегулировано Программой, Организатор и Исследователи руководствуются действующим законодательством Российской Федерации.

6.3. Все споры и разногласия, которые возникают в связи с участием в Программе, подлежат разрешению путем переговоров. Спорные вопросы, не урегулированные путем переговоров, подлежат разрешению в суде по месту нахождения Организатора.

Объем выплаченного вознаграждения:
83 000 руб.
Количество участников:
57
Количество отчетов о найденных уязвимостях:
47
Количество одобренных отчетов:
17

Тарифы за обнаруженные уязвимости

Максимальное вознаграждение в размере 50 000 рублей выплачивается за детальное описание уязвимости, позволяющей злоумышленнику совершить хотя бы одно из следующих действий:

  • получить доступ ко всей защищаемой информации (внутренней базе данных);
  • удалить либо модифицировать всю информацию из базы данных;
  • заблокировать доступ к защищаемой информации для легитимных пользователей на значительное время;

Вознаграждение в размере 30 000 рублей выплачивается за детальное описание уязвимости, позволяющей злоумышленнику совершить хотя бы одно из следующих действий:

  • получить доступ к информационным ресурсам от имени другого пользователя;
  • выполнить действия от имени пользователя, но без его ведома;
  • получить или подделать аутентифицирующую информацию пользователей сайта;
  • существенно изменить содержимое вебстраницы;
  • перенаправить пользователя на сторонний ресурс;
  • установить на компьютер пользователя вредоносную программу.

Вознаграждение в размере 5 000 рублей выплачивается за детальное описание уязвимости, позволяющей злоумышленнику совершить хотя бы одно из следующих действий:

  • получить конфиденциальную информацию об используемых механизмах защиты информации;
  • получить конфиденциальную информацию путем перехвата и последующего анализа трафика между пользователем и исследуемым вебсайтом;
  • обойти механизмы защиты от спама.

В случае, если присланная уязвимость не позволяет осуществить ни одну из перечисленных выше атак, размер вознаграждения будет устанавливаться Организатором по своему усмотрению экспертным методом с учётом потенциального ущерба от реализации уязвимости.

Проект компании РосИнтеграция +7 (861) 279-32-00
Поиск уязвимостей
Правила участия
Этика исследователя
Вознаграждение
Для организаций
Вопросы и ответы
Обзор программ
Новости
Лента новостей
Статьи
Пресса о нас
Форум участников
Справка
О нас
Рекомендованные утилиты
Свяжись с нами