Правила для дослідників

Наша мета — створити прозоре та продуктивне середовище для співпраці.

1. Наша філософія

Ми віримо, що співпраця з дослідниками безпеки є ключовим елементом захисту сучасних цифрових систем. Ми цінуємо ваш час та зусилля і зобов'язуємося ставитися до вашої роботи з повагою. Наша головна мета — разом робити український кіберпростір безпечнішим.

Золоте правило: Дійте як партнер. Тестуйте системи відповідально, не завдаючи шкоди, та повідомляйте про знахідки лише нам. Ми, у свою чергу, гарантуємо справедливу оцінку та винагороду.

2. Сфера та правила взаємодії

Чітке дотримання цих правил є обов'язковим для участі в наших програмах.

Що дозволено і вітається
  • Тестувати лише ті активи, що вказані у розділі "Scope" (Сфера) кожної конкретної програми.
  • Надавати детальні та якісні звіти, що містять кроки для відтворення вразливості (PoC).
  • Негайно повідомляти про знайдені критичні вразливості.
  • Дотримуватися повної конфіденційності щодо знайдених вразливостей до моменту нашого офіційного дозволу на розголошення.
Що суворо заборонено
  • Проведення тестів, що можуть призвести до відмови в обслуговуванні (DoS / DDoS).
  • Використання методів соціальної інженерії, фішингу або спаму проти співробітників чи клієнтів компанії.
  • Доступ, зміна або видалення будь-яких даних, що не належать вам. Якщо ви отримали доступ до чутливої інформації, негайно зупиніться та повідомте нас.
  • Публічне розголошення будь-яких деталей про вразливість без нашої письмової згоди.

3. Процес: від звіту до винагороди

1. Подача звіту

Ви надсилаєте детальний звіт через нашу платформу.

2. Валідація

Наша команда аналізує та підтверджує вразливість (Triage).

3. Виплата

Після підтвердження вразливості ви отримуєте винагороду.

4. Виправлення

Ми передаємо звіт клієнту, і він працює над виправленням.

4. Кваліфікація вразливостей

Ми заохочуємо пошук та винагороджуємо за звіти про широкий спектр вразливостей.

Що не вважається вразливістю (Out of Scope)

Наступні звіти, як правило, не приймаються (якщо інше не вказано в програмі):

  • Результати роботи автоматичних сканерів без доказів реальної можливості експлуатації.
  • Відсутність "кращих практик" (напр., відсутність певних HTTP-заголовків).
  • Розкриття версій програмного забезпечення.
  • Self-XSS (вразливості, які користувач може експлуатувати лише проти самого себе).
  • Проблеми, пов'язані з SPF/DKIM/DMARC.
  • Clickjacking на сторінках без автентифікації або чутливих дій.

5. Винагороди

Розмір виплати базується на таксономії та критичності вразливості для бізнесу клієнта. Винагороду отримує той, хто першим надав якісний звіт про унікальну вразливість.

6. Правовий статус та "Safe Harbor"

Ми підтримуємо дослідників, що діють відповідально.

Якщо ви проводите дослідження безпеки в межах, визначених цією політикою, ми вважатимемо вашу діяльність авторизованою. Ми зобов'язуємось не ініціювати та не підтримувати будь-які юридичні дії проти вас за ваше дослідження.

Дякуємо, що допомагаєте нам робити світ безпечнішим!