BugHunt

+7 (861) 279-32-00

Интернет-банк Крайинвестбанка (ЗАВЕРШЕНА)

http://c.ikib.ru/
Зарегистрировано участников:
50
Срок действия:
с 21.07.2014 по 21.08.2014
Призовой фонд:
150 000 руб.
Я хочу принять участие в программе

Положение о публичном конкурсе по поиску уязвимостей Интернет-ресурса https://c.ikib.ru

версия 1.2

Внимание!

Тестирование сайта необходимо проводить только во внерабочее время с 20:00 до 7:00 (МСК)!

Обновление условий конкурса

В сферу действия конкурса по поиску уязвимостей добавлен тестовый сервер dc.ikib.ru. Ограничение по времени тестирования на него не распростроняются.

Преамбула

Настоящее Положение регулирует порядок и условия проведения открытого публичного конкурса по поиску уязвимостей Интернет-ресурса https://c.ikib.ru.

Предметом Конкурса является проведение анализа защищённости и контроля эффективности защиты информации Объекта исследований, а также выявление уязвимостей программного обеспечения и ошибок конфигурации средств обработки информации и средств защиты информации.

Целями Конкурса являются предотвращение нарушений прав обладателей информации, размещенной на Интернет-ресурсе, предупреждение преступлений в сфере компьютерной информации, а также привлечение внимания к вопросам информационной безопасности.

Настоящее Положение не является договором подряда, возмездного оказания услуг, публичным обещанием награды, и к нему не применяются предусмотренные законодательством РФ положения соответствующих соглашений.

1. Термины

1.1. Конкурс по поиску уязвимостей (Конкурс) – открытый публичный конкурс по поиску уязвимостей Объекта исследования, проводимый Организатором в соответствии с Положением и законодательством Российской Федерации.

1.2. Объект исследований – Интернет-ресурс, указанный в п. 2.1. Положения.

1.3. Сервис BugHunt – комплекс информационных и технических решений, размещенный в Сети Интернет по адресу https://www.bughunt.ru, обеспечивающий взаимодействие Организатора с Исследователями через электронные каналы связи.

1.4. Исследователь – лицо, осуществившее предусмотренные условиями Конкурса действия по предоставлению Организатору посредством Сервиса BugHunt информации об уязвимостях Объекта исследования.

1.5. Уязвимость – технический недостаток Объекта исследования, который может быть использован для реализации угроз информационной безопасности.

1.6. Форма уведомления – форма уведомления об обнаруженных уязвимостях Объекта исследования, включающая информацию об обнаруженных уязвимостях, информацию о Конкурсе, в рамках которого были обнаружены уязвимости, информацию, позволяющую идентифицировать Исследователя, обнаружившего уязвимости.

1.7. Рабочий день - день, который не признается в соответствии с законодательством Российской Федерации и (или) законодательством субъекта РФ, на территории которого зарегистрирован Организатор, выходным и (или) нерабочим праздничным днем.

1.8. В рамках настоящего Положения для исчисления временных интервалов (сроков) Стороны используют московское время.

1.9. Победитель – Исследователь, в отношении которого Конкурсной комиссией принято решение о выплате награды за направленную информацию об обнаруженной уязвимости. Количество Победителей не ограничено и определяется на усмотрение Конкурсной комиссии.

1.10. Общий призовой фонд – общая максимальная сумма вознаграждения, которая может быть выплачена всем Победителям за предоставление информации об уязвимостях. Информация о размере общего призового фонда размещается Организатором в Сети Интернет на сервисе BugHunt.

2. Общие сведения

2.1. Объектами исследований по Конкурсу являются: Информационный портал, расположенный в сети Интернет по адресу https://c.ikib.ru

2.2. Сроки проведения Конкурса. Информация об уязвимостях от Исследователей принимается с момента размещения настоящего Положения на сервисе BugHunt и до момента окончания Конкурса. Конкурс может быть прекращен Организатором в порядке, предусмотренном Гражданским кодексом РФ, в случае принятия уполномоченным государственным органом решения о включении Интернет-ресурса в «Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет» (далее – Единый реестр), а также по иным основаниям.

2.3. Организатором Конкурса является Общество с ограниченной ответственностью «РосИнтеграция». Информация об Организаторе: Юридический адрес: Российская Федерация, Краснодарский край, г.Краснодар, ул. Московская, 69 Почтовый адрес: 350063, Краснодарский края, г. Краснодар, ул. Мира, 26. ОГРН: 1082311008548 ИНН: 2311113226 КПП: 231101001 р/счет 40702810447300000142 в Филиал «Южный» ОАО «УРАЛСИБ» г.Краснодар кор/счет 30101810400000000700 БИК 040349700 Правообладателем Объекта исследования является ОАО «Крайинвестбанк». Организатор гарантирует наличие у него правомочий на проведение мероприятий, связанных с обнаружением уязвимостей Объекта исследования, переданных Организатору Правообладателем в рамках достигнутого соглашения.

3. Условия и порядок участия в Конкурсе

3.1. Принимая участие в Конкурсе, Исследователь дает Организатору согласие на обработку его персональных данных на условиях и способами, предусмотренными Политикой конфиденциальности, размещенной в сети Интернет по адресу https://bughunt.ru/privacy/ и Условиями использования Сервиса BugHunt, размещенными в сети Интернет по адресу https://bughunt.ru/terms/. Принимая участие в Конкурсе, Исследователь предоставляет Организатору право на размещение фамилии, имени, отчества Исследователя или его псевдонима на Сервисе BugHunt, в случае принятия Комиссией решение о награждении Исследователя. Совершение Исследователем указанных в Конкурсе действий свидетельствует об ознакомлении Исследователя с Политикой конфиденциальности и Условиями использования Сервиса BugHunt, а также даче согласия на обработку его персональных данных и предоставление указанных прав.

3.2. Поиск и направление информации об уязвимостях Объекта исследования осуществляются исключительно в соответствии с условиями и в сроки, указанные в настоящем Положении. Действия по обнаружению уязвимостей Объекта исследований должны производится Исследователями в период времени с 20 часов 00 минут по 7 часов 00 минут.

3.3. Направление информации об уязвимостях производится Исследователем следующим образом:

3.3.1. Исследователь проходит процедуру регистрации/авторизации на Сервисе BugHunt. В целях обеспечения возможности выплаты вознаграждения, при прохождении процедуры регистрации, Исследователем указываются реквизиты, на которые должна быть произведена выплата вознаграждения.

3.3.2. С помощью пользовательского интерфейса на Сервисе BugHunt, Исследователь направляет детальную информацию о найденной уязвимости, позволяющую однозначно установить факт наличия уязвимости и алгоритм её возникновения, путем заполнения посредством Сервиса BugHunt Формы уведомления и направления ее Организатору.

3.4. По направленной Исследователем информации об обнаруженной уязвимости, Организатором проводится проверка ее соответствия требованиям Конкурса и актуальности. Проверка проводится в течение 10 рабочих дней с момента поступления информации об уязвимости Организатору.

3.5. По истечении указанного в п. 3.4 настоящей Положения срока, Организатор направляет Исследователю уведомление о принятии направленной информации, либо об отказе в ее принятии, с пояснениям причин такого отказа.

3.6. Информация об обнаруженных уязвимостях направляется Исследователем Организатору только с использованием Сервиса BugHunt. Информация об уязвимости, переданная Исследователем Организатору иными способами, не принимается и не подлежит оценке Конкурсной комиссией.

3.7. В ходе проведения действий по обнаружению уязвимостей, Исследователь не вправе редактировать, удалять или иным способом изменять информацию, содержащуюся на Интернет-Ресурсе, являющемся Объектом исследования, осуществлять несанкционированные загрузки информации, изменение программных кодов и иные действия, которые влекут или могут повлечь за собой какой-либо вред Интернет-ресурсу.

3.8. Исследователь обязуется не разглашать информацию об обнаруженных уязвимостях с использованием любых источников (как открытых, так и закрытых), в течение 60 дней с момента подведения Конкурсной комиссией итогов Конкурса и объявления его результатов. Исследователь обязуется приложить разумные усилия для того, чтобы информация об уязвимости не стала доступна третьим сторонам.

4. Подведение итогов Конкурса и выплата награды

4.1. В целях проведения оценки полученной информации об уязвимостях, Организатором формируется Конкурсная комиссия, в состав которой входят специалисты Организатора.

4.2. Оценка уязвимостей Комиссией складывается из следующих факторов: - размер потенциального ущерба, который может быть нанесён Интернет-ресурсу в случае реализации найденной уязвимости; - простота реализации найденной уязвимости; - размер области Интернет-ресурса, подверженной уязвимости; - степень детализации описания уязвимости в сообщении Исследователя; - наличие рекомендаций по устранению найденной уязвимости.

4.3. Количество победителей и размеры выплачиваемого им вознаграждения определяются Конкурсной комиссией по своему субъективному усмотрению в соответствии с настоящим Положением. Общий размер вознаграждения, присуждаемого Комиссией и выплачиваемого всем Победителям не может превышать размера Общего призового фонда. Общий размер призового фонда является максимальным показателем, определяющем пределы обязательств Организатора и составляет 150 000 (сто пятьдесят тысяч) рублей. При этом, окончательное решение о размере выплаты вознаграждения каждому Победителю и сумме присуждаемых наград всем Победителям определяется Конкурсной комиссией в соответствии с характером уязвимостей и критериями оценки и может составлять суму меньшую, чем Общий призовой фонд.

4.4. Размеры награды за обнаруженные уязвимости. Максимальная награда в размере 30 000 рублей выплачивается за детальное описание уязвимости, позволяющей злоумышленнику совершить хотя бы одно из следующих действий: • получить доступ ко всей защищаемой информации (внутренней базе данных); • удалить либо модифицировать всю информацию из базы данных; • получить доступ к информационным ресурсам от имени другого пользователя. Вознаграждение в размере 15 000 рублей выплачивается за детальное описание уязвимости, позволяющей злоумышленнику совершить хотя бы одно из следующих действий: • выполнить действия от имени пользователя, имеющие серьёзные последствия, без его ведома; • получить или подделать аутентифицирующую информацию пользователей сайта; • существенно изменить содержимое вебстраницы; • установить на компьютер пользователя вредоносную программу. Вознаграждение в размере 3 000 рублей выплачивается за детальное описание уязвимости, позволяющей злоумышленнику совершить хотя бы одно из следующих действий: • перенаправить пользователя на сторонний ресурс; • заблокировать доступ к защищаемой информации для легитимных пользователей на значительное время; • получить конфиденциальную информацию об используемых механизмах защиты информации; • получить конфиденциальную информацию путем перехвата и последующего анализа трафика между пользователем и исследуемым вебсайтом; • обойти механизмы защиты от спама. Вознаграждение за информацию об Уязвимости программного обеспечения, снижающей общую работоспособность или защищённость Объекта Исследования, составляет 1000 рублей. В случае, если присланная уязвимость не позволяет осуществить ни одну из перечисленных выше атак, размер вознаграждения устанавливается Конкурсной комиссией по своему усмотрению экспертным методом с учётом потенциального ущерба от реализации уязвимости.

4.5. Конкурсной комиссией в течение 30 дней с момента окончания проведения Конкурса подводятся итоги и определяются его Победители.

4.6. Вознаграждение выплачивается в течение 2 (двух) месяцев с момента подведения итогов Конкурса и оглашения его Победителей на Сервисе BugHunt.

4.7. Вознаграждение выплачивается Организатором путем перечисления денежных средств на счет Исследователя, указанный в личном профиле Исследователя на Сервисе BugHunt. В случае отсутствия в личном профиле Исследователя информации о реквизитах, вознаграждение Исследователю за обнаруженные уязвимости не выплачивается.

4.8. Обязательства Организатора по выплате награды считаются исполненными с момента списания денежных средств с расчетного счета Организатора.

4.9. Награда победителям выплачивается только при условии направления информации об обнаруженных уязвимостях способами и на условиях, предусмотренных Положением.

4.10. Любая информация об уязвимостях, полученная Организатором в ходе проведения Конкурса, может быть использована Организатором любым способом, включая ее передачу третьим лицам, независимо от того, было ли принято Комиссией решение о выплате вознаграждения за такую информацию, или нет.

5. Конфиденциальность

5.1. К конфиденциальной информации относится:

5.1.1. любая обнаруженная Исследователем информация об уязвимостях Интернет-ресурса Организатора;

5.1.2. любая размещенная на Интернет-ресурсе Организатора информация, которая не находится на моментпроведения Конкурса в открытом доступе.

5.2. Исследователь, если иное прямо не предусмотрено Положением, не вправе осуществлять копирование, передачу, либо иное распространение конфиденциальной информации, полученной им в процессе осуществления действий по обнаружению уязвимостей.

5.3. В случае выявления фактов копирования и(или) распространения Исследователем конфиденциальной информации, Исследователь несет ответственность в соответствии с действующим законодательством РФ.

6. Заключительные положения

6.1. Принимая участие в Конкурсе, Исследователь соглашается с тем, что он несет персональную ответственность за действия (бездействия), в результате которых Объекту исследования нанесен имущественный или иной вред, включая потерю конфиденциальной информации. При этом, Правообладатель вправе предъявлять требования о возмещении таких убытков непосредственно к Исследователю.

6.2. Направление Исследователем информации о найденной уязвимости в порядке, предусмотренном Положением о Конкурсе, означает безоговорочное согласие Исследователя со всеми условиями Конкурса.

6.3. Во всем, что не урегулировано настоящим Положением, Организатор и Исследователи руководствуются действующим законодательством Российской Федерации.

6.4. Все споры и разногласия, которые возникают в связи с участием в Конкурсе, подлежат разрешению путем переговоров. Спорные вопросы, не урегулированные путем переговоров, подлежат разрешению в суде по месту нахождения Организатора. Урегулирование споров в претензионном (досудебном) порядке обязательно. Претензия должна быть рассмотрена в течение 30 календарных дней с момента ее получения.

Объем выплаченного вознаграждения:
37 000 руб.
Количество участников:
50
Количество отчетов о найденных уязвимостях:
39
Количество одобренных отчетов:
12

Максимальная награда в размере 30 000 рублей выплачивается за детальное описание уязвимости, позволяющей злоумышленнику совершить хотя бы одно из следующих действий:

  • получить доступ ко всей защищаемой информации (внутренней базе данных);
  • удалить либо модифицировать всю информацию из базы данных;
  • получить доступ к информационным ресурсам от имени другого пользователя.

Вознаграждение в размере 15 000 рублей выплачивается за детальное описание уязвимости, позволяющей злоумышленнику совершить хотя бы одно из следующих действий:

  • выполнить действия от имени пользователя, имеющие серьёзные последствия, без его ведома;
  • получить или подделать аутентифицирующую информацию пользователей сайта;
  • существенно изменить содержимое вебстраницы;
  • установить на компьютер пользователя вредоносную программу.

Вознаграждение в размере 3 000 рублей выплачивается за детальное описание уязвимости, позволяющей злоумышленнику совершить хотя бы одно из следующих действий:

  • перенаправить пользователя на сторонний ресурс;
  • заблокировать доступ к защищаемой информации для легитимных пользователей на значительное время;
  • получить конфиденциальную информацию об используемых механизмах защиты информации;
  • получить конфиденциальную информацию путем перехвата и последующего анализа трафика между пользователем и исследуемым вебсайтом;
  • обойти механизмы защиты от спама.

Вознаграждение за информацию об Уязвимости программного обеспечения, снижающей общую работоспособность или защищённость Объекта Исследования, составляет 1000 рублей.

В случае, если присланная уязвимость не позволяет осуществить ни одну из перечисленных выше атак, размер вознаграждения устанавливается Конкурсной комиссией по своему усмотрению экспертным методом с учётом потенциального ущерба от реализации уязвимости.

Проект компании РосИнтеграция +7 (861) 279-32-00
Поиск уязвимостей
Правила участия
Этика исследователя
Вознаграждение
Для организаций
Вопросы и ответы
Обзор программ
Новости
Лента новостей
Статьи
Пресса о нас
Форум участников
Справка
О нас
Рекомендованные утилиты
Свяжись с нами