Политика ответственного раскрытия информации об обнаруженных уязвимостях (bugbounty-программа)

Мы просим вас:

• Сообщить об уязвимости как можно скорее, чтобы свести к минимуму риск того, что ею воспользуются злоумышленники.
• Сообщить об уязвимости таким образом, чтобы гарантировать конфиденциальность вашего сообщения и избежать утечки информации об уязвимости.
• Предоставить достаточно информации для воспроизведения проблемы. Обычно достаточно указать IP-адрес или URL ресурса и описать уязвимость; однако сложные уязвимости могут потребовать дополнительных сведений.
• Не раскрывать третьим лицам информацию об уязвимости, пока она не будет устранена.
• Не создавать собственный бэкдор в информационной системе с целью демонстрации уязвимости, поскольку это может нанести дополнительный ущерб и создать ненужные риски безопасности.
• Не использовать уязвимость в большей степени, чем это необходимо для подтверждения ее наличия.
• Не вносить изменения в систему; не копировать, не изменять и не удалять данные в системе
• Не использовать атаки методом перебора, атаки на физическую безопасность, DDoS-атаки, социальную инженерию, спам или сторонние приложения, чтобы получить доступ к системе.

Мы обещаем:

• Предоставить ответ на ваше сообщение об уязвимости в течение 5 рабочих дней, с нашей оценкой полученных сведений и ожидаемой датой решения.
• Не предпринимать в отношении вас никаких юридических мер, если вы следовали инструкциям выше.
• Не передавать ваши персональные данные третьим лицам без вашего согласия, за исключением случаев, когда это необходимо для соблюдения установленных законом обязательств. (Вы также можете отправить сообщение под псевдонимом или анонимно).
• Держать вас в курсе решения проблемы.
• Сообщить в общедоступной информации об уязвимости, что она была обнаружена именно вами (если вы не пожелаете скрыть свои данные).
• Произвести денежное вознаграждение удобным способом за предоставление релевантной информации об уязвимости в размере, зависящим от критичности уязвимости.