Bug bounty програма

revenuebot надає винагороду за виявлення помилок в роботі системи. Якщо ви виявили уразливість в роботі сервісу, повідомте нам про це, написавши в Службу підтримки.

Яка буде нагорода?

Нагорода, яка буде виплачена за виявлення багів і помилок, залежить від ступеня складності. Виявлені помилки можна розділити на три групи:

  • Уразливість, яка вимагає взаємодії з користувачем або зачіпає окремих користувачів. Наприклад, підробка міжсайтових запитів (CSRF); маніпуляція репутацією користувача.
  • Уразливість, яка не вимагає взаємодії з користувачем і зачіпає багатьох користувачів. Наприклад, збережені міжсайтові скрипти (XSS) зі значним впливом; обхід аутентифікації, що дозволяє змінювати користувацькі дані або отримувати доступ до особистих даних.
  • Уразливість, яка зачіпає всю нашу платформу. Наприклад, підробка запитів на стороні сервера (SSRF); отримання доступу адміністратора; розкриття важливої інформації.

Розмір винагороди буде залежати від того, до якої групи можна віднести баг або помилку. Мінімальна сума винагороди 50USDT.

В якому випадку нагорода не виплачується?

  • Якщо це не перше повідомлення про дану уразливість.
  • Якщо підтвердження помилки або бага передбачає доступ до ПК або ПЗ користувача.
  • Знайдений баг вимагає виконання нестандартних і тривалих дій.
  • Уразливості, що вимагають джейлбрейка або модифікації пристроїв і додатків.
  • Уразливості, що працюють на старих версіях браузерів.

Загальні правила про Bug Bounty

  • Розгляд звернення про уразливість відбувається протягом двох тижнів.
  • Звіт про помилку або уразливість повинен містити докладний опис виявлених проблем і кроки, які необхідно зробити для її відтворення, або робочий доказ концепції.
  • Ви не повинні використовувати автоматизовані інструменти і сканери для пошуку уразливостей – такі звіти будуть проігноровані.
  • Ви не повинні здійснювати ніяких дій, які можуть пошкодити наш сервіс або дані, включаючи дані клієнтів. DDoS, спам, соціальна інженерія, атака повного перебору не допускаються.
  • Не допускається залучення інших користувачів, до виявлення уразливості, без їх згоди.