Bug bounty программа

revenuebot предоставляет вознаграждение за обнаружение ошибок в работе системы. Если вы обнаружили уязвимость в работе сервиса, сообщите нам об этом, написав в Службу поддержки.

Какая будет награда?

Награда, которая будет выплачена за обнаружение багов и ошибок, зависит от степени сложности. Выявленные ошибки можно разделить на три группы:

  • Уязвимость, которая требует взаимодействия с пользователем или затрагивает отдельных пользователей. Например, подделка межсайтовых запросов (CSRF); манипуляция репутацией пользователя.
  • Уязвимость, которая не требует взаимодействия с пользователем и затрагивает многих пользователей. Например, хранимые межсайтовые скрипты (XSS) со значительным влиянием; обход аутентификации, позволяющий изменять пользовательские данные или получать доступ к личным данным.
  • Уязвимость, которая затрагивает всю нашу платформу. Например, подделка запросов на стороне сервера (SSRF); получение доступа администратора; раскрытие важной информации.

Размер вознаграждения будет зависеть от того, к какой группе можно отнести баг или ошибку. Минимальная сумма вознаграждения 50USDT.

В каком случае награда не выплачивается?

  • Если это не первое сообщение о данной уязвимости.
  • Если подтверждение ошибки или бага предполагает доступ к ПК или ПО пользователя.
  • Найденный баг требует выполнения нестандартных и продолжительных действий.
  • Уязвимости, требующие джейлбрейка или модификации устройств и приложений.
  • Уязвимости, работающие на старых версиях браузеров.

Общие правила о Bug Bounty

  • Рассмотрение обращения об уязвимости происходит в течение двух недель.
  • Отчет об ошибке или уязвимости должен содержать подробное описание обнаруженных проблем и шаги, которые необходимо предпринять для ее воспроизведения, или рабочее доказательство концепции.
  • Вы не должны использовать автоматизированные инструменты и сканеры для поиска уязвимостей – такие отчеты будут проигнорированы.
  • Вы не должны совершать никаких действий, которые могут повредить наш сервис или данные, включая данные клиентов. DDoS, спам, социальная инженерия, атака полного перебора не допускаются.
  • Не допускается привлечение других пользователей, к выявлению уязвимости, без их согласия.