Бесплатный вебинар «Как сотрудничать с самозанятыми иностранцами: документы, уведомления, сроки, ответственность», 26 сентября 11:00
bug bounty
Получите вознаграждение за поиск уязвимостей
Добро пожаловать в bug bounty программу Консоли!
Мы уделяем особое внимание безопасности наших продуктов и данных наших пользователей. Поэтому мы приветствуем публичный поиск проблем в безопасности и ответственное раскрытие информации о них. Ниже изложены правила нашей bug bounty программы. Пожалуйста, внимательно прочитайте их.
Таблица наград
Low
3 500 — 7 000 ₽
Medium
7 000 — 35 000 ₽
High
35 000 — 70 000 ₽
Critical
70 000 — 105 000 ₽
Первый исследователь, сообщивший о неизвестной ранее валидной уязвимости может получить награду. В качестве награды мы предлагаем денежное вознаграждение и фирменные подарки. Размер вознаграждения зависит от критичности найденной уязвимости.

Мы оцениваем уязвимости в индивидуальном порядке с учетом VRT и нашей экспертизы. Критичность уязвимости может быть понижена/повышена в зависимости от потенциального ущерба при реализации атаки.
Правила программы
  • Составляйте подробные отчеты с рабочими шагами для воспроизведения и сценарием атаки. Если отчет оформлен недостаточно подробно чтобы воспроизвести проблему, он может быть лишен права на получение вознаграждения.
  • При поиске уязвимостей избегайте нарушения конфиденциальности и целостности данных, а также доступности наших продуктов.
  • Не проводите автоматизированный перебор, атаки на отказ в обслуживании (DoS и DDoS), не отправляйте спам нашим пользователям, не занимайтесь социальной инженерией и фишингом наших сотрудников и подрядчиков.
  • Обращения в техподдержку и отправка любых форм, которые будут обработаны людьми, строго запрещены.
  • В случае дубликата мы наградим только первый полученный отчет (при условии, что он полностью воспроизводится).
  • Известные нам проблемы, находящиеся в процессе исправления, не претендуют на вознаграждение.
  • Никому не сообщайте информацию о найденной уязвимости без нашего разрешения.
  • Публичные 0-day уязвимости с официальным патчем, выпущенным менее 2 месяцев назад, могут рассматриваться как дубликаты, если они известны нашей команде из общедоступных источников.
Направления поиска
Домены:
app.konsol.pro
api.konsol.pro

Уязвимости, найденные на других доменах Консоли, также принимаются, но решение о вознаграждении остается на усмотрение Консоли.
Исключения из программы
Мы не рассматриваем и не принимаем как уязвимости:

  • Сообщения от сканеров безопасности и других средств автоматического сканирования.
  • Сообщения без демонстрации реального существования уязвимости.
  • Сообщения без указания на достоверно возможные негативные последствия.
  • Сообщения об отсутствии заголовков безопасности.
  • Clickjacking отчеты, основанные на отсутствии HTTP заголовков. Для рассмотрения Clickjacking отчета необходимо предоставить валидный PoC и сценарий атаки с описанием негативных последствий от её реализации.
  • Сообщения об отсутствии лучших практик безопасности.
  • Атаки, требующие MITM или физический доступ к устройству пользователя.
  • Уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ.
  • Уязвимости, которыми можно навредить только самому себе.