Security

Program Bug Bounty

Znajdz bledy, zdobadz nagrode.

Pomoz nam poprawic nasze bezpieczenstwo i zdobadz nagrody. Zapraszamy badaczy bezpieczenstwa do odpowiedzialnego testowania naszych systemow. Jesli znajdziesz luke, zaplacimy Ci za jej zgloszenie.

Zglos luke w zabezpieczeniach
Zasady

Podstawowe zasady

  • 1Testuj ostroznie: nie zaklocaj naszych uslug ani nie uzywaj automatycznych narzedzi skanujacych.
  • 2Uzywaj tylko wlasnego konta testowego. Nigdy nie probuj uzyskac dostepu do kont innych uzytkownikow.
  • 3Natychmiast nas powiadom, jesli uzyskasz dostep do systemow wewnetrznych.
  • 4Zachowaj poufnosc wszelkich odkryc do momentu rozwiazania problemu.
  • 5Tylko pierwsza osoba, ktora zglosi okreslona luke, otrzymuje nagrode.
Zakres

Czego szukamy

Nagradzamy odkrycia reprezentujace rzeczywiste ryzyka bezpieczenstwa. Wyzsze nagrody za bardziej krytyczne problemy:

Nieautoryzowany dostep do danych innych uzytkownikow (samo potwierdzenie istnienia konta nie kwalifikuje sie).
Omijanie kontroli bezpieczenstwa API (np. omijanie limitow szybkosci, omijanie uwierzytelniania).
Luki cross-site scripting (XSS).
Zdalne wykonywanie kodu na naszych serwerach.
Wstrzykiwanie SQL lub inne ataki wstrzykiwania.
Bledy uwierzytelniania lub zarzadzania sesjami.

Nagradzamy tylko luki bezpieczenstwa, ktore moga zaszkodzic uzytkownikom lub ich danym, a nie bledy kosmetyczne lub zepsute funkcje.

Wylaczenia

Za co nie placimy

Ataki odmowy uslugi (DoS/DDoS) lub proby brute-force.
Problemy z mieszana zawartoscia lub konfiguracja SSL.
Ataki socjotechniczne lub phishing.
Teoretyczne luki bez dzialajacego dowodu koncepcji.
Brakujace naglowki bezpieczenstwa lub standardowe ustawienia utwardzania (np. polityka hasel, weryfikacja email).
Luki w uslugach stron trzecich lub zaleznosciach poza nasza kontrola.
Nagrody

Jak placimy

Im bardziej krytyczna luka, tym wyzsza nagroda. Nie ma stalego limitu. Jesli znajdziesz cos szczegolnie powaznego lub sprytnego, wynagrodzimy Cie odpowiednio. Kwoty nagrod sa okreslane na podstawie potencjalnego wplywu luki.

Platnosci sa przetwarzane w USD za posrednictwem PayPal po zweryfikowaniu i rozwiazaniu luki. Obowiazuja standardowe oplaty PayPal.

Zgloszenie

Jak zglosic

01

Wyslij

Wypelnij formularz zgloszenia luki ponizej ze szczegolowym opisem i dowodem koncepcji.

02

Przeglad

Nasz zespol bezpieczenstwa przejrzy Twoje zgloszenie i odpowie w ciagu 7 dni roboczych.

03

Rozwiazanie

Pracujemy nad poprawka. Mozemy sie z Toba skontaktowac w celu uzyskania dodatkowych szczegolow lub wyjasien.

04

Nagroda

Po zweryfikowaniu i rozwiazaniu luki przetwarzamy Twoja nagrode w USD za posrednictwem PayPal.

Zgloszenie

Zglos luke w zabezpieczeniach

Wypelnij formularz ponizej z jak najwieksza iloscia szczegolow. Dolacz kroki do odtworzenia, ocene wplywu i dowod koncepcji.