Программа Bug Bounty

Безопасность прежде всего. И она вознаграждается.

Безопасность системы Hive OS — одна из наших главных целей. Помогайте нам в этом, находите уязвимости — и получайте вознаграждение.

Как работает программа?

Вознаграждение возможно в случае соблюдения таких правил:

  1. Вы должны быть первым пользователем, приславшим отчёт об уязвимости.
  2. Обнаруженная уязвимость должна попадать в одну из категорий, описанных ниже.
  3. Вы должны предоставить описание шагов, необходимых для воспроизведения уязвимости.
  4. Вы соглашаетесь сохранять конфиденциальность общения с командой Hive OS — это значит, что вы не должны отправлять отчеты и доказательства другим пользователям или компаниям.
  5. Домены, участвующие в программе (не включая поддомены): hiveos.farm, the.hiveos.farm, hiveon.net.

Список уязвимостей

Обнаруженная вами уязвимость должна относиться к одной из следующих категорий:

  • Межсайтовая подделка запроса, имеющая значительное влияние на безопасность (Cross-site request forgery)
  • Межсайтовый скриптинг, без учета Self-XSS (Cross-site scripting)
  • Подделка запросов со стороны сервера (Server side request forgery)
  • Совместное использование ресурсов между разными источниками, имеющее значительное влияние на безопасность (Cross origin resource sharing)
  • Открытое перенаправление, имеющее значительное влияние на безопасность (Open Redirect)
  • Внедрение SQL-кода (SQL injection)
  • Повышение привилегий (Privilege escalation)
  • Обход каталога (Directory traversal)
  • Манипуляции с платежами (Payment manipulation)
  • Удаленное выполнение кода (Remote code execution)
  • Включение локального файла (Local file inclusion)
  • Включение удаленного файла (Remote file inclusion)
  • Утечка конфиденциальных данных (Leakage of sensitive data)
  • Обход аутентификации (Authentication bypass)

Какова сумма выплаты?

  • Сумма вознаграждения составляет 10$-20$. Пороговые значения не подлежат обсуждению и изменениям.
  • Мы платим значительно больше (500$+) за такие уязвимости: утечка конфиденциальных данных, манипуляции с платежами, обход аутентификации, внедрение SQL-кода.
  • За одну подтвержденную уязвимость полагается одно вознаграждение.

Важно

  • Вы не должны нарушать конфиденциальность других пользователей, уничтожать какие-либо данные или же нарушать работу наших сервисов.
  • Для поиска уязвимостей вы должны использовать только ваш личный аккаунт Hive OS. Использование аккаунтов других пользователей запрещено.
  • Не пытайтесь повлиять на наши меры по обеспечению физической безопасности, не используйте спам, социальную инженерию, DDOS-атаки и другие техники.
  • Если вы обнаружили уязвимость, которая разрешает доступ в систему, вы должны сразу же поставить нас в известность — не продолжайте исследовать уязвимость самостоятельно.
  • Использование уязвимости ради собственной выгоды отменяет ваше участие в программе — в таком случае, вознаграждение не выплачивается.

Ваша внимательность может принести вам награду и помочь сделать Hive OS еще безопаснее. Если вы обнаружили уязвимость, пишите нам на [email protected]. Усовершенствуем Hive OS вместе!