Програма „Възнаграждение за откриване на програмни грешки“

Открий проблеми в сайтовете или платформите ни и може да получиш парична награда

Какво представлява програмата?

Какво представлява програмата?

Тази програма е предназначена за сътрудничество с изследователи-специалисти по компютърна сигурност при провеждане на тестове за проверка на сигурността в работната среда Групата на ТиБиАй Банк.

Нейните цели са:

  • да се определи дали и по какъв начин недобронамерен потребител може да получи неоторизиран достъп до активи, които оказват влияние върху базовата сигурност на системата, файловете, записите и/или чувствителните данни;
  • да се потвърди, че приложимите контролни мерки като обхват, управление на уязвимостта, методология и сегментация, са въведени и в сила.
Обхват на програмата

Обхват на програмата

Обхватът на „изследване“ включва всички активи на: ТиБиАй Банк ЕАД, ТиБиАй Банк ЕАД София – клон Букурещ, ТиБиАй Кредит АйЕфЕн С.А. (Румъния), ТиБиАй Лизинг АйЕфЕн С.А. (Румъния). Програмата обхваща разнообразни работни среди като всички системи, приложения, интернет-услуги, Приложно-Програмни Интерфейси (API), мобилни услуги и всички потенциални обекти на атака, които са част от инфраструктурата на банката.

Правила на Програмата

 

Нарушаването на което и да е от тези правила може да доведе до неприсъждане на възнаграждение и/или изключване от програмата.

 

  • Изследователите не могат да използват своите открития за компрометиране/извличане на данни или пренасочването им към други системи. Методът за доказване на концепцията се използва единствено с цел демонстрирането на даден проблемен въпрос.
  • Ако бъде осъществен достъп до чувствителна информация (например лична информация, идентификационни данни и др.) като част от дадена уязвимост, то тази чувствителна информация не трябва да бъде запомняна, съхранявана, прехвърляна, достъпвана, или обработвана по какъвто и да е друг начин след първоначалното й разкриване. Всички копия на чувствителна информация трябва да бъдат върнати на ТиБиАй Банк и не могат да бъдат запазвани.
  • Изследователите не могат и не са оторизирани да извършват каквато и да е дейност, която може да застраши, навреди или нанесе щети на търговските марки на ТиБиАй Банк или на нейните потребители. Това включва: социално инженерство, неправомерно придобиване на чувствителна информация по мрежов път (phishing), заплахи, свързани с физическата сигурност, и атаки от типа „отказ на услуга” (DDOS) срещу потребители и служители.
  • Изследователите не могат да правят откритите уязвимости обществена информация (като споделят каквито и да е подробности с когото и да е, освен с оторизираните служители), или по друг начин да споделят уязвимости с трета страна, без изричното писмено разрешение на ТиБиАй Банк.

 

Юридически условия

 

ТиБиАй Банк не дава разрешение/правомощия (независимо дали по подразбиране или изрични) на никое лице или група лица да извлича лична информация или данни на които и да е потребители или да разгласява тази информация в откритата, обществено достъпна интернет-среда без съгласието на потребителя или да видоизменя или използва за зловредни цели програмни продукти или данни, принадлежащи на ТиБиАй Банк.

ТиБиАй Банк няма да завежда дело или друго правораздавателно разследване срещу изследовател в отговор на докладвана от него уязвимост, ако изследователят изпълнява всички изисквания на тази програма.

 

Проверка/Тестване

 

При участие в програмата „Възнаграждение за откриване на програмни грешки”, моля, да направиш следното:

 

  • Трябва да предоставиш своя IP-адрес в доклада за програмни грешки. Ние ще запазим тази информация като лична и ще я използваме само за проверката на записи/логове, отнасящи се до твоята дейност по тестването.
  • Включи персонализиран HTTP-хедър в целия свой трафик на информация. Програмата Burp и други прокси-програми позволяват автоматичното добавяне на хедъри към всички изходящи запитвания. Уведоми ни за това какъв хедър си нагласил, за да можем да го идентифицираме по-лесно. Например:
    • Заглавен ред, който включва твоето потребителско име: X-Bug-Bounty:HackerOne-<потребителско име>
    • Заглавен ред, който включва уникален или идентифицируем флаг: X-Bug-Bounty:ID-<sha256-флаг>

 

Когато тестваш за програмни грешки, моля, също така да имаш предвид:

 

  • Използвай само оторизирани профили, така че да не предизвикаш непреднамерено компрометиране на поверителната информация на нашите потребители;
  • Когато се опитваш да демонстрираш администраторски права със следните примитиви в даден уязвим процес, моля да използваш следните команди:
    • Прочети (Read): cat /proc/1/maps
    • Напиши (Write): touch /root/<Вашето H1 потребителско име>
    • Изпълни (Execute): идентификация (id), името на сървъра (hostname), командата pwd (въпреки че технически командите „cat” и „touch” също доказват изпълнение)
  • Сведи потенциалните щети до минимум. Следвай правилата на програмата по всяко време. Не използвай автоматизирани сканиращи програми/инструменти – тези инструменти включват съдържание, което може да задейства промени в условията или да увреди работните системи и/или данни.
  • Преди да нанесеш щети или да причиниш потенциални вреди: Спри, докладвай какво си открил и изискай разрешение за допълнителни тестове.

 

Отговорно Разгласяване на Уязвимостите

 

Ние непрекъснато работим за развитието на нашата програма за откриване на програмни грешки. Нашата цел е да отговорим на входящите подадени доклади, колкото е възможно по-бързо и да положим всички усилия за отстраняване на програмните грешки в рамките на 120 дни след тяхната категоризация.

Възнаграждения

 

За да поощрим докладването на уязвимости на ТиБиАй Банк, те подканяме да ни изпращаш каквито и да е уязвимости, които си открил, като може да бъдеш възнаграден за откритията и усилията си. Размерът на възнаграждението зависи от сериозността на докладваната уязвимост, типа на засегнатата интернет-страница (страници със статична информация срещу страници за онлайн банкиране), както и от качеството на получения от нас доклад. Възнаграждението се определя по преценка на ТиБиАй Банк в зависимост от значимостта на откритата системна уязвимост и нейният размер.

 

По решение на ТиБиАй Банк, възнаграждението може да бъде увеличено при предоставянето на по-пълно проучване, код за доказване на концепцията и подробно изследване. Обратното също е в сила – ТиБиАй Банк може да заплати по-малко възнаграждение за открити уязвимости, които изискват комплексни или прекалено сложни  взаимодействия или чието въздействие или риск за сигурността е пренебрежимо малък. Отпускането на възнаграждение може да бъде отказано, ако съществуват доказателства за нарушения на програмната политика.

Отпускането на възнаграждение ще бъде отказано, ако открием доказателство за злоупотреба.

Следните проблемни случаи се считат за попадащи извън обхвата на програмата и не подлежат на възнаграждение:

  • Тези, които се отнасят до услуги, предоставяни от трети страни
  • Проблеми, които не засягат последните версии на съвременните браузъри
  • Проблеми, за които ние знаем, или които са били вече докладвани в миналото
  • Проблеми, които изискват малко вероятно взаимодействие с потребителя
  • Разгласяване на информация, която не представлява значителен риск
  • Подправяне на Заявка Между Различни Сайтове с минимално влияние върху сигурността
  • Внедряване („инжектиране”) на файлове в CSV-формат
  • Непълни или липсващи SPF/DKIM
  • Съображения относно общоприетите най-добри практики

Внимание!

Моля, разгледай внимателно пълната политика на програмата „Възнаграждение за откриване на програмни грешки“, прикачена по-долу, където можеш да откриеш цялата детайлна информация за условията на участие в нея, възнагражденията, изискванията за вида доклади, наказателна отговорност, конфиденциалност и други подробно описани дефинирани важни подробности.

Всички свои въпроси, можеш да изпращаш на:

bugbounty@tbibank.bg


Пълни условия за участие

Изтегли
pdf формат