Mediacoin представляет программу Bug Bounty MDC целью которой является поиск багов, ошибок и уязвимостей десктоп-приложения, за вознаграждение для всего Интернет-сообщества. Мы поощряем конструктивную и детальную отчетность о найденных ошибках и уязвимостях.
💸 Выплаты и размеры наград (См вложение)
Вознаграждение выплачивается в том случае, если Вы первый, кто сообщил о данной уязвимости либо ошибке, если вы не использовали её для причинения вреда приложению или пользователям и не публиковали данные об этой ошибке.
✍🏻Как сообщить об ошибке?
Отчеты об ошибках I и II уровня необходимо отправлять на почту mediacoin@mediacoin.pro, или в специальной группе Telegram (https://t.me/MediacoinBugBounty).
Сообщение об ошибках III и IV уровня принимаются только на почту mediacoin@mediacoin.pro. Ошибки должны соответствовать “Принципами ответственного раскрытия”
Обращаем ваше внимание, что вознаграждение получает только первый сообщивший о найденной уязвимости.
💰Выплаты осуществляются раз в неделю. Дни выплат будут анонсированы в официальных сообществах проекта и специальной группе Telegram (https://t.me/MediacoinBugBounty).
📋Все участники программы будут занесены в отчетный файл. Данный файл будет содержать размер вознаграждения и статус выплаты участнику.
Денежное вознаграждение может быть выплачено в долларах USD или в рублях по курсу актуальным в день выплат.
Способы получения вознаграждения:
Webmoney
Яндекс Деньги
Qiwi-кошелек
🔎Требования к сообщениям об ошибках
Подробное описание найденной уязвимости
Подробное и понятное описание шагов, необходимых для воспроизведения найденной уязвимости или рабочее подтверждение своей концепции. (Желательно приложить вложение подтверждающее ошибку). Это правило не обязательно для ошибок I уровня.
Желательные вложения, подтверждающие ошибку:
-Лог-файл
-Скриншоты
-Пошаговое описание возникновение ошибки
-Видео экрана при возникновении ошибки
-Информация с панели разработчика
-Описание операционной системы и версии программы
-Провайдер ресурсов ПК
-Регион (указать в случаи сетевых проблем)
📌Не рассматриваются следующие случаи
-"Теоретические" уязвимости без демонстрации реального применения на нашем сервисе
-Уязвимости, требующие физический доступ к устройству пользователя.
-Отчёты сканеров безопасности или аналогичных инструментов
-Советы по внедрению “best practices” разработки ПО
-Проверка наличия данных о юзере в нашей базе через формы регистрации, авторизации или восстановления
-Сообщения об уязвимостях, когда реализация уязвимости требует наличие другой уязвимости без предоставления аналогичных данных о ней
-Framing, clickjacking, tapjacking
-Logout CSRF
-Self-XSS;
-Уязвимости, которые воспроизводятся только в устаревшем пользовательском ПО и не воспроизводятся в последней версии
-Атаки, основанные на социальной инженерии или фишинге
-Уязвимости, влияющие на пользователей не поддерживаемых платформ
Команда Mediacoin оставляет за собой возможность повышение или снижение размера вознаграждения, сопровождая решение мотивированным ответом.
🔥Принципы ответственного раскрытия
Мы ожидаем следование принципам ответственного раскрытия от исследователей, взявшихся за поиск уязвимостей на сервисе Mediacoin. Это означает что лицо, обнаружившее уязвимость и сообщившее о ней посредством формы, обязуется не разглашать информацию об уязвимости третьим лицам в течение времени, которое требуется для ее устранения. Участник программы по поиску уязвимостей не должен в какой-либо форме раскрывать данные, доступ к которым был получен в результате его исследований. К их числу мы относим персональные данные пользователей, а также иные сведения, способные затруднить работу сервиса Mediacoin. В процессе исследования данные реальных пользователей сервиса не должны быть скомпрометированы - автор должен использовать свои учетные записи для поиска и демонстрации атаки.
К участию в программе не допускаются действующие и бывшие сотрудники компании, их знакомые и родственники.
http://telegra.ph/Programma-Bug-Bounty-MDC-01-18
#mediacoin #MDC #blockchain #блокчейн #Bounty #BugBounty #баунти-программа
