«Азбука вкуса» уделяет особое внимание безопасности, целостности и доступности своих данных и систем, а также своих клиентов, сотрудников и партнеров. Мы ценим работу исследователей в области безопасности, направленную на повышение безопасности наших продуктов и услуг и призываем сообщество принять участие в нашей программе по вознаграждению за найденные уязвимости.

Отчеты автоматических сканеров уязвимостей (без проверки со стороны исследователя) рассматриваются вне области обнаружения.

Время ответа

Как правило, мы стараемся достичь следующего времени для ответа:

• Время ответа (от момента получения информации) — до 5 рабочих дней;
• Время на обработку отчета (от момента получения всей информации по отчету) — до 10 рабочих дней;
• Время на выплату вознаграждения (от момента обработки отчета) — до 20 рабочих дней.

Время ответа может быть увеличено во время национальных праздничных дней и выходных.

Политика раскрытия информации

• Необходимо придерживаться общих принципов ответственного раскрытия информации;
• Не разглашать сведения об уязвимостях (даже если они уже исправлены) и не передавать сведения третьим лицам без явного согласия «Азбука вкуса»;
• Не использовать обнаруженную уязвимость для своей собственной и/или иной выгоды, за исключением выгоды автора данной программы. Данное требование включает демонстрацию дополнительных рисков, попытка раскрыть конфиденциальные данные или найти другие уязвимости.

Правила программы

Основные правила

• Размер вознаграждения зависит от уровня опасности найденной уязвимости;
• В случае дублирования отчетов, выплата вознаграждения будет осуществлена только за первый присланный отчёт (при условии, что уязвимость, описанная в отчете, может быть полностью воспроизведена);
• Многочисленные отчёты или описанные в одном отчёте уязвимости, вызванные одной основной проблемой, будут вознаграждены одним вознаграждением. Одна и та же уязвимость, обнаруженная в нескольких доменах, будет рассматривать как одна уязвимость. Просим Вас сообщать обо всех затронутых уязвимостью доменах в рамках одного отчета. Все последующие отчеты будут закрыты как дубликаты;
• Тестовые аккаунты могут быть предоставлены по запросу, в исключительных случаях;
• Любые отчеты, не входящие в область обнаружения, будут приняты к сведению, но не будут вознаграждены;
• Участниками данной программы не могут являться сотрудники компании «Азбука вкуса» (действующими или бывшими), а равно аффилированными с ними лицами.

При поиске уязвимости и предоставлении отчета необходимо соблюдать следующие требования:

• Предоставлять подробные отчеты с воспроизводимыми шагами, включая полные запросы, приводящие к эксплуатации уязвимости;
• Просим Вас присылать по одной уязвимости в отчете, за исключением необходимости связать несколько уязвимостей для успешной эксплуатации атаки;
• Не разглашать сведения об уязвимостях и не передавать сведения третьим лицам;
• Не использовать инструменты тестирования уязвимостей, которые автоматически генерируют значительные объемы и/или частоту сетевого трафика;
• Не осуществлять атаки, которые могут нанести вред надёжности и/или целостности служб/сервисов компании «Азбука вкуса» или данных (атаки типа «отказ в обслуживании» и другие);
• Не открывать и/или не вносить изменения в учетные записи клиентов. Если необходимо, использовать свои собственные учетные записи для поиска уязвимостей;
• Не осуществлять рассылку спама и атаки социальной инженерии на клиентов и сотрудников Компании, включая фишинг;
• Не выполнять никаких физических атак;
• Любая дальнейшая эксплуатация уязвимости после присланного отчета об этой уязвимости запрещена.

Определение области обнаружения уязвимостей в рамках политики

В область обнаружения уязвимостей входят:

• Сервисы

Сервисы, расположенные на доменных именах: av.ru (и субдоменах), azbukavkusa.ru (и субдоменах);

Сервисы, расположенные на сетевых адресах: 195.19.210.0/24;

Сервисы, доступные в беспроводных сетях Компании и сами беспроводные сети, принадлежащие компании «Азбука вкуса».

• Уязвимости

Область обнаружения ограничена исключительно техническими уязвимостями в наших сервисах и веб-приложениях. Любая уязвимость дизайна или реализации, которая существенно влияет на конфиденциальность или целостность данных, вероятно, будет применима к настоящей политике.

Должны воспроизводятся в браузерах: Chrome, Firefox,Safari, Opera, Edge, Internet Explorer.

Браузеры должны быть обновлены до последней версии (последняя выпущенная стабильная версия) на момент отправления отчета. Уязвимости, которые требуют установки определённых сервисов, расширений и плагинов выходят за рамки области обнаружения уязвимостей.

В область обнаружения уязвимостей не входят:

• Сервисы:

Все сервисы, не указанные в области обнаружения.

Если веб-страницы имеют перенаправление на другие доменные имена, то они выходят из области обнаружения.

• Уязвимости:

CSRF-уязвимостях для некритичных действий (logout и другие);

Уязвимостях типа Self-XSS без демонстрации реального воздействия на безопасность пользователей или систем

Framing- и clickjacking-уязвимостях без документированной серии кликов, подтверждающей существование уязвимости;

Отсутствии механизма безопасности / несоответствии лучшим практикам без демонстрации реального воздействия на безопасность пользователей или систем;

Отсутствии SSL/TLS, использовании небезопасных шифров SSL/TLS;

Google/Yandex API-ключи;

Атаках, требующих полного доступа к паролям, токенам, профилю браузера или локальной системе;

Раскрытии некритичной информации (такой, как версия продукта, протокола и т.д.);

Ошибках, которые не затрагивают последние версии современных браузеров и ошибках, связанных с расширениями браузеров;

Уязвимостях, которые затрагивают только пользователей с определенными браузерами;

Атаках, требующих чрезвычайно маловероятного пользовательского взаимодействия;

Атаках типа «отказ в обслуживании» или уязвимостях, связанных с ограничением частоты запросов;

Временных атаках, которые доказывают существование учетной записи пользователя и т.п.;

Небезопасных настройках cookie (для некритичных cookie);

Ошибках в содержании / сервисах, которые не принадлежат или не управляются Компанией (сюда входят сторонние службы, работающие на субдоменах);

Уязвимостях, которые Компания определяет, как уязвимости с приемлемым уровнем риска;

Скриптинге или другой автоматизации, переборе предполагаемой функциональности и параметров;

Отсутствие DMARC записи на поддоменах.

Отчеты, содержащие информацию об уязвимостях нулевого дня в стороннем программном обеспечении, рассматриваются в индивидуальном порядке и не гарантируют выплату вознаграждения.

Требования к оформлению Отчета

Отчет об ошибке должен содержать подробное описание обнаруженной уязвимости, краткие шаги по ее воспроизведению или рабочее доказательство концепции (PoC). Видео и скриншоты могут иллюстрировать отчет об ошибке, но не могут его заменить.

В отчете необходимо отразить следующие основные разделы:

• Название уязвимости.
• Продукт и версия затрагиваемого ПО (компонента).
• Рабочее доказательство концепции (PoC) или подробное описание шагов по воспроизведению обнаруженной проблемы безопасности.
• Описание сценария атаки с указанием следующих основных аспектов: кто хочет использовать конкретную уязвимость, для какой выгоды, каким образом осуществляется реализация и другая дополнительная информация.
• Рекомендации по устранению

Дальнейшая эксплуатация уязвимости после присланного отчета об этой уязвимости

Вся дальнейшая эксплуатация уязвимости после присланного по ней отчета выходит из области обнаружения, за исключением минимума, необходимого для доказательства эксплуатации уязвимости.

В случае атаки RCE или инъекции Вы можете вводить команды с указанием версии базы данных, имени системы или локального IP-адреса.

Вся последующая эксплуатация уязвимости, которая приведет к дальнейшим уязвимостям и/или к риску нарушения стабильности или целостности систем, выходит за область обнаружения.