Mail.Ru Group объявляет о старте программы поиска уязвимостей

Небольшое отступление. HackerOne – это некоммерческая организация, занимающаяся вопросами кибер-безопасности. Время от времени она кооперируется с мировыми интернет-гигантами, в числе которых Microsoft и Facebook, и проводит программы поиска багов. Или, как сказано на веб-страничке HackerOne: Simply put: hack all the things, send us the good stuff, and we'll do our best to reward you (Короче говоря: взламывай все, шли нам результаты, а с нас – вознаграждение). Кстати именно через платформу Hackerone было выплачена награда хакерам, обнаружившим печально известную уязвимость Heartbleed, которая буквально на днях привела к крупнейшей в истории человечества утечке данных, сообщает habrahabr.ru.

Первым шагом реализации совместной программы Mail.Ru Group и HackerOne станет конкурс на выявление уязвимостей. Сообщения о них можно отправлять в течение месяца: с 21 апреля по 20 мая 2014 года. Затем аналитики информационной безопасности Mail.Ru Group обработают все заявки и 21 мая 2014 года назовут имена (или псевдонимы) победителей.

Трое лучших исследователей, которые найдут наиболее критичные уязвимости, получат бонусное денежное вознаграждение:

• 1 место — 5 тыс. долларов
• 2 место — 3 тыс. долларов
• 3 место — 1,5 тыс. долларов

Вознаграждение также получат остальные участники конкурса. Минимальная награда за найденную уязвимость составит $150. Потолка нет — размер награды будет зависеть только от критичности обнаруженной проблемы.

За какие уязвимости можно получить награду?

Сейчас награда выплачивается за обнаружение уязвимостей на следующих веб-сервисах Mail.Ru Group:

Почта Mail.Ru
e.mail.ru
*.e.mail.ru
touch.mail.ru
*.touch.mail.ru
m.mail.ru
*.m.mail.ru

Облако Mail.Ru
cloud.mail.ru
*.cloud.mail.ru

Календарь Mail.Ru
calendar.mail.ru
*.calendar.mail.ru

Mail.Ru для бизнеса
biz.mail.ru
*.biz.mail.ru

Авторизационный центр Mail.Ru
auth.mail.ru
*.auth.mail.ru
swa.mail.ru
*.swa.mail.ru

А также в мобильных приложениях Mail.Ru Group для iOS и Android, которые так или иначе работают с личной информацией пользователей:
Почта Mail.Ru для iOS
Почта Mail.Ru для Android
Календарь Mail.Ru для Android
Облако Mail.Ru для iOS
Облако Mail.Ru для Android

Со временем к этому списку могут добавиться и другие проекты Mail.Ru Group.

Что остается за рамками нашей программы?

Если вы нашли уязвимость на одном из проектов, который не входит в список, ваша заявка тоже будет рассмотрена. В этом случае награда присуждается в индивидуальном порядке и сильно зависит от серьезности обнаруженной проблемы.

Вознаграждение не выплачивается за информацию, полученную с помощью:

• физического взлома дата-центов или офисов Mail.Ru Group
• взлома инфраструктуры компании
• социальной инженерии

Проводя исследования, пожалуйста, используйте собственные аккаунты. Не пытайтесь получить доступ к чужим аккаунтам или какой-либо конфиденциальной информации.

Если вы хотите сообщить не об уязвимости, а о проблемах с доступом к аккаунту, обратитесь в нашу службу поддержки.

Уязвимость нашлась — что дальше?

А дальше необходимо багрепорт через сайт наших партнеров – сообщества HackerOne.com, где вам нужно будет создать свой аккаунт. Именно там вы сможете общаться с аналитиками информационной безопасности Mail.Ru Group, проверять статус своей заявки, получить информацию о своей награде (если она, конечно, будет присуждена именно вам), при необходимости ответить на уточняющие вопросы и так далее. 

В багрепорте нужно дать подробное описание найденной уязвимости. Еще необходимо кратко, но понятно указать, какие шаги приводят к тому, чтобы с ней столкнуться, или дать рабочее подтверждение своей концепции. Ведь если уязвимость не будет описана во всех необходимых подробностях, процесс раскрытия сильно затянется.

Также очень желательно, чтобы исследователь мог объяснить, каким именно образом он нашел ту или иную уязвимость.

В первую очередь интересны:

• Cross-Site Scripting
• SQL Injection
• Remote Code Execution
• Cross-Site Request Forgery
• Directory Traversal
• Information Disclosure
• Content Spoofing
• Clickjacking

Если вы предпочитаете сохранять свое имя в тайне, можете пользоваться псевдонимом при подаче баг-репортов.

Как рассматриваются багрепорты?

Сообщения об уязвимостях, которые нужно подавать через платформу HackerOne.com, рассматривают аналитики информационной безопасности Mail.Ru Group. В ходе оценки мы всегда представляем себе худший сценарий эксплуатации уязвимости и выплачиваем награду, исходя из размера ущерба. Чем больше ущерб, тем больше награда.

Сообщения рассматриваются в течение 15 дней (это максимальный срок — скорее всего, вы получите ответ быстрее).

Награды исследователям и обратная связь

Вся обратная связь по заявкам, а также выплаты будут осуществляться через систему проекта HackerOne.

Награда присуждается, если вы первый, кто сообщил о данной уязвимости. В противном случае вам будет предоставлен доступ к тикету с ее описанием, чтобы вы могли отслеживать статус ее исправления. 

С момента сообщения об уязвимости должно пройти не менее 3 месяцев, прежде чем вы сможете опубликовать её детали. Мы просим вас об этом, потому что нам нужно иметь достаточное количество времени, чтобы ответить вам и исправить уязвимость.

Сообщение о том, что указанная вами уязвимость подтвердилась, а также информация о присуждении награды будет появляться в вашем багрепорте. Там же могут быть заданы уточняющие вопросы, так что не забывайте проведывать свой тикет!

Итак, получить более подробную информацию о программе поиска уязвимостей Mail.Ru Group и подать заявку можно по ссылке: https://hackerone.com/mailru.