Мы стремимся обеспечить безопасность наших сайтов и приложений. Мы хотели бы наградить ответственных за выявленные уязвимости.
Квалификация уязвимостей
Проблемы проектирования или реализации, которые могут отрицательно повлиять на конфиденциальность и безопасность данных наших пользователей, будут частью программы. Некоторые распространенные нарушения:
Межсайтовый скриптинг
Фальсификация межсайтовых запросов
Скрипты смешанного содержания
Недостатки аутентификации или авторизации
Ошибки выполнения кода на стороне сервера
В целях обеспечения доступности наших услуг для всех пользователей, мы просим не предпринимать никаких попыток DoS-атак, не использовать Black Hat SEO, спам, брутфорс или другие аналогичные сомнительные действия. Мы также не рекомендуем использовать инструменты тестирования уязвимостей, которые могут автоматически генерировать очень значительные объемы веб-трафика.
Денежное вознаграждение за уязвимости системы безопасности
Денежное вознаграждение за соответствующие ошибки варьируется от Кредитов до $2,000, в зависимости от класса ошибок и их влияния на бизнес. Вы можете найти значение уязвимостей безопасности в таблице ниже:
–
Влияние1
–
Высокое
Среднее
Низкое
Вероятность2
Высокая
$200
$100
Средняя
$100
$50
$10
Низкая
$50
$10
–
1. Оценка влияния основана на потенциальной возможности атаки вызвать нарушения конфиденциальности, финансовые убытки и другой вред для пользователей, а также на охвате пользователей.
2. Оценка вероятности основана на наборе технических навыков, необходимых для проведения атаки, потенциальных мотиваторах такой атаки и вероятности обнаружения уязвимости злоумышленником.
Обратите внимание, что окончательная сумма вознаграждения основывается на схеме оценки вероятности и влияния. Решение будет окончательным, споры не будут рассматриваться.
Исследование и Отчет об ошибках
Когда вы исследуете некую уязвимость, пожалуйста, используйте свой аккаунт в качестве цели атаки. Не пытайтесь получить доступ к чужим данным и не участвуйте в мероприятиях, которые могут нанести вред другим пользователям.
Если одна и та же уязвимость присутствует в нескольких продуктах, объедините проблемы и отправьте один отчет. Если вы обнаружили уязвимость, пожалуйста, свяжитесь с нами по адресу marketing@ahasave.com. Обратите внимание, что мы сможем ответить только на отчеты о технических уязвимостях.
Вознаграждение будет только за первый отчет о конкретной уязвимости, последующие дублированные отчеты с той же проблемой не будут вознаграждены, только первый. Пожалуйста, включите в описание шаги для воспроизведения уязвимости, дополните отчет видео и/или фото.
Основания законности
AhaSave не может выдавать вознаграждения лицам, включенным в санкционные списки или находящимся в странах (например, Куба, Иран, Северная Корея, Судан и Сирия) в санкционных списках. Вы самостоятельно несете ответственность за любые налоговые последствия в зависимости от страны проживания и гражданства. В зависимости от местного законодательства на вас могут быть наложены дополнительные ограничения.
Эта программа вознаграждений не является соревнованием. Это экспериментальная и дискреционная программа, которая позволит нашей команде работать над уязвимостями, обнаруженными технологическими энтузиастами. Обратите внимание, что AhaSave оставляет за собой право окончательно отменить программу в любое время и принять решение о присуждении денежного вознаграждения. Наконец, ваше тестирование не должно нарушать какие-либо законы, нарушать и/или ставить под угрозу любые данные, которые вам не принадлежат.