Политика по вознаграждению за обнаруженные ошибки
Company NoOnes (also referred to as “NoOnes,” “we,” “us,” or “our”) takes steps to improve our product and provide secure solutions for our customers. In this Bug Bounty Policy (“Policy”), we describe applicable cases for our Bug Bounty Program and how it should be used in connection with your use of our website at https://noones.com/, including, but not limited to, the NoOnes Wallet, online Bitcoin trading platform, mobile application, social media pages, or other online properties (collectively, the “Website”), or when you use any of the products, services, content, features, technologies, or functions we offer (collectively, the “Services”). This Policy is designed to help you obtain information about how you can participate in our Bug Bounty Program, which secure research results are applicable, and which benefits you can receive. Please note that our Service offerings may vary by region.
При любых обстоятельствах английский текст Политики вознаграждения за обнаружение ошибок в ПО имеет приоритетное значение. В случае расхождений между переводом Политики вознаграждения за обнаружение ошибок в ПО на другой язык и английским текстом последний имеет преимущество и обладает юридической силой.
Что такое Программа по вознаграждению за обнаруженные ошибки?
In order to improve NoOnes and the Services, the NoOnes Bug Bounty Program provides our users an opportunity to earn a reward for identifying security related issues.
Как можно сообщить нам о результатах исследования в рамках Программы вознаграждения за обнаруженные ошибки?
Все сообщения такого рода необходимо направлять на bugbounty@noones.com. В своем сообщении подробно опишите обнаруженную уязвимость и приложите доказательства (пояснения/поэтапные действия/скриншоты/видео/скрипты или другие материалы).
Правила программы
Нарушение любого из этих правил может привести к отказу в вознаграждении.
- Вы можете тестировать уязвимости только в отношении своего аккаунта или аккаунта, владелец которого дал вам свое согласие.
- Не используйте полученные результаты для компрометации данных или их переноса в другие системы. Доказательства должны использоваться только для демонстрации проблемы.
- Если при поиске уязвимостей вы получили доступ к персональной информации, учетным данным и т.д., вы не должны сохранять, переносить, просматривать или иным образом использовать эту информацию.
- Вы не должны совершать действия, которые могут навредить или причинить ущерб NoOnes.
- Вы не можете публично разглашать информацию об обнаруженных уязвимостях, передавая информацию другим лицам, помимо уполномоченных сотрудников NoOnes, или иным способом сообщая информацию об уязвимостях третьим лицам без согласия NoOnes.
Как мы оцениваем проблемы, выявленные в рамках Программы вознаграждения за обнаруженные ошибки?
Для оценки результатов используется риск ориентированный подход.
Соглашение о неразглашении
Прежде чем мы начнем обсуждать какие-либо подробности, связанные с подтвержденными проблемами, выявленными вами в рамках Программы вознаграждения за обнаруженные ошибки, в том числе вопросы компенсации и т. д., вы должны будете заключить с нами Соглашение о неразглашении.
Как мы выплачиваем вознаграждения по Программе вознаграждения за обнаруженные ошибки?
Все вознаграждения такого рода выплачиваются компанией NoOnes. Вознаграждения могут быть выплачены только в том случае, если они не противоречат действующему законодательству и подзаконным актам, в частности, торговым санкциям и экономическим ограничениям.
Сколько времени нам потребуется, чтобы проанализировать ваши результаты по Программе вознаграждения за обнаруженные ошибки?
Поскольку технические проблемы имеют изменчивый и сложный характер, мы не устанавливаем конкретные сроки для анализа результатов в рамках Программы вознаграждения за обнаруженные ошибки. Анализ завершается только тогда, когда мы подтверждаем наличие или отсутствие уязвимости.
Какие случаи исключены из Программы вознаграждения за обнаруженные ошибки?
Некоторые уязвимости не входят в Программу вознаграждения за обнаруженные ошибки. Они включают себя, помимо прочего:
- Спам;
- Уязвимости, для обнаружения которых используется социальная инженерия или фишинг;
- DDOS-атаки;
- Гипотетические проблемы, у которых нет практических последствий;
- Уязвимости в системе безопасности сторонних приложений и сайтов, интегрированных с NoOnes;
- Результаты анализа, проведенного сканерами, и отчеты на основании таких анализов;
- Проблемы, обнаруженные при автоматическом тестировании;
- Ошибки ПО, информация о которых раскрывается публично (в течение 30 дней после разглашения);
- Атаки посредника;
- Атаки с подменой заголовка хоста без определенных наглядных последствий;
- Межсайтовый скриптинг, включая любые запросы, сделанные жертвой атаки;
- Подделка межсайтовых запросов для входа в систему или выхода из нее;
- Login/logout Clickjacking;
- Credentials found in leaked databases.
Vulnerabilities that enable attackers to authenticate, add, delete or modify any of the content on the blog.noones.com, noones.com/blog.