Мы рады объявить о запуске нашей Программы Bug Bounty для определенного программного обеспечения, предоставляемого через www.askbtc.org.
Для целей этой программы мы используем следующие определения:
В соответствии с условиями программы мы предлагаем вознаграждение (денежное вознаграждение) за любые ошибки, уязвимости и эксплойты, связанные с безопасностью (далее коллективно - «Ошибки»), обнаруженные на веб-сайте www.askbtc.org; Служба регистрации аккаунта; API webREST; AskBtc и сопутствующее программное обеспечение; Поддержка AskBtc, включающая веб-сайт и сопутствующее программное обеспечение, другое программное обеспечение и связанные с ним услуги, которые образуют торговую систему AskBtc, именуемую «область отчетности».
Вы имеете право участвовать в этой программе, если:
Чтобы квалифицировать отчет об ошибке, он должен соответствовать следующим условиям:
Мы можем отклонить любой отчет об ошибке, который по нашему собственному усмотрению не соответствует этим критериям.
Эта программа посвящена выявлению значительных ошибок, которые оказывают прямое и очевидное влияние на работу и безопасность нашей системы и данные наших клиентов и/или могут привести к потере наших или клиентов средств и/или прибыли, незаконного обогащения любого человека. Мы не квалифицируем отчеты, влияющие на работу нашей системы, если клиент может решить проблему самостоятельно.
Приветствуются отчеты об ошибках и уязвимостях в стороннем программном обеспечении и услугах за пределами области отчетов (операционные системы, библиотеки, браузеры, плагины, хост-сервисы, SDN, облачное программное обеспечение, службы, CRM, форумы и т. д.), но они не соответствуют общим положениям. Такие проблемы исследуются соответствующими поставщиками. Тем не менее, критические проблемы, влияющие на наше программное обеспечение, услуги, могут быть исследованы нами.
Обратите внимание, что мы оставляем за собой право отклонить любое представление, которое мы определяем, по нашему собственному усмотрению, попадает в любую из этих категорий ошибок, даже если оно имеет право на получение вознаграждения.
Любые отчеты об ошибках должны быть сделаны по электронной почте по адресу: bugreport@askbtc.org
Весь отчет об ошибках должен быть составлен четким и всеобъемлющим образом и должен содержать по крайней мере следующее:
Отчет об ошибке должен быть выполнен в вежливом порядке, не может содержать какой-либо неподходящий язык и/или другой непристойный контент и не может быть иным образом составлен таким образом, чтобы он был понятен AskBtc и его персоналом.
Если во время расследования вы непреднамеренно допустили нарушение конфиденциальности (например, вы получили доступ к информации учетной записи пользователя AskBtc, конфигурациям сервисов или другой конфиденциальной информации), пожалуйста, укажите это в своем отчете об ошибке.
Нет никаких ограничений на количество квалифицированных отчетов об ошибках, которые может предоставить и получить вознаграждение заявителем.
Отправляя нам отчет об ошибке, вы соглашаетесь и признаете, что вы не будете раскрывать контент отчета об ошибках, включая действующий код эксплойта для применимой уязвимости, и не использовать его в своей собственной учетной записи.
Если отчет об ошибках соответствует указанным выше требованиям, вы получите сообщение на электронную почту, в котором сообщается, что ваш отчет об ошибке был успешно получен нами.
Наша исследовательская группа проверит все правильно представленные отчеты об ошибках и подтвердит их право на участие. AskBtc сохраняет за собой право на определение того, какой отчет об ошибках является квалифицированным. Время изучения может занять некоторое время. Обратите внимание, что, учитывая количество представленных отчетов об ошибках и его сложность и полноту, может потребоваться время для изучения вашего отчета об ошибке. Пожалуйста, воздержитесь от раскрытия содержимого вашего отчета об ошибке или публикации его на других ресурсах.
Вознаграждение будет выплачиваться по собственному усмотрению AskBtc, исходя из качества и сложности сообщаемой ошибки.
Минимальная сумма, выплачиваемая за квалифицированный отчет об ошибках, составляет 100 долларов США максимум до 10000 долларов США.
Окончательная сумма всегда выбирается по усмотрению исследовательской группы и зависит от риска, связанного с ошибкой в вопросе, его влиянием на соответствующую работе наших служб и других факторов. В частности, мы можем принять решение выплатить более высокие вознаграждения за особо критичные уязвимости; Решение выплатить более низкие вознаграждения за уязвимости, которые взаимодействуют с пользователем; Решение, что несколько отчетов настолько тесно связаны друг с другом, гарантирует только одну награду. Решения, принятые AskBtc, являются окончательными для вас.
После того, как отчет об ошибках будет проверен нашей исследовательской группой, с вами могут связаться, чтобы вы могли предоставить необходимые документы для обработки вашего вознаграждения. После того как мы получим документы и подтверждение, что вы имеете право на получение платежа по этой программе, мы обработаем заявку на вознаграждение.
Вы не должны использовать ошибки ни для своего, ни для стороннего преимущества, ни для повреждения нашей торговой системы, программного обеспечения и т. д.
Вы не должны раскрывать содержание своего отчета об ошибке или публиковать его на других ресурсах.
Вы не должны нарушать закон или компрометировать любые данные, которые не являются вашими собственными, при тестировании ошибки или отправке отчета об ошибке.
При расследовании ошибки вы должны ориентироваться только на собственные учетные записи. Никогда не пытайтесь получить доступ к чужой учетной записи или данным и не совершайте в какие-либо действия, которые могут быть неприемлемы или повреждающими для других пользователей AskBtc или самим AskBtc. При исследовании вы не должны пытаться выполнять следующие методы: DDoS-атаки, использование черных технологий SEO-шпионов, спам-людей, не пишите и не эксплуатируйте советников-экспертов, которые разработаны на основе ошибок. Мы также препятствуем использованию любых инструментов тестирования уязвимостей, которые автоматически генерируют очень значительные объемы трафика.
Если наша команда выяснит, что вы совершили действие, указанное в этом пункте, вы не сможете получить награду. Если вы сообщаете об ошибке, используемой в ходе текущей или прошлой атаки, и у нас есть основания подозревать, что вы являетесь злоумышленником, мы оставляем за собой право не платить вознаграждение.
Мы не будем предпринимать никаких юридических действий, не возмещать и не защищать вас от любых и всех обязательств в отношении вашей деятельности с ошибками в нашей области отчетности, при условии, что вы и ваш отчет об ошибках должны оставаться в соответствии с условиями этой Программы.
Отправляя свой отчет об ошибке в AskBtc, вы тем самым:
Мы не можем выплатить вознаграждение лицам, проживающим в странах, попадающих под санкции Совета Безопасности Организации Объединенных Наций, или странам, которым поручена Целевая группа по финансовым мероприятиям («ФАТФ»), призывая своих членов и другие юрисдикции применять контрмеры для защиты международного Финансовой системы от текущих и значительных рисков отмывания денег и финансирования терроризма (ОД/ФТ), исходящих от юрисдикций.
Вы несете ответственность за любые налоговые последствия в зависимости от страны проживания и гражданства. Могут быть дополнительные ограничения на вашу способность участвовать в нашей Программе Bug Bounty в зависимости от вашего местного законодательства.
Если есть спор относительно того, кто является квалифицированным подателем, мы рассмотрим правомочного подателя заявки и сообщим владельцу учетной записи на адрес электронной почты, используемый для регистрации учетной записи в AskBtc.
Мы оставляем за собой право опубликовать списки отчетов об ошибках и список экспертов, которые предоставили полезные отчеты об ошибках в системе безопасности. Вы можете уведомить нас, что хотите остаться анонимными для общественности, однако мы должны знать ваше юридическое имя и адрес, чтобы заплатить вам.
Если ваш отчет об ошибках квалифицирован, но вам менее 14 лет или вы считаетесь несовершеннолетним на своем законном месте жительства, мы можем потребовать от вашего родителя или законных представителей подписать все необходимые формы от вашего имени. Если вы не заполните необходимые формы в соответствии с инструкциями или не пришлете необходимые формы в течение времени, указанного в уведомлении, мы не сможем выполнить платеж. Мы не можем обработать платеж, пока не получим полностью необходимую документацию.
Мы можем отменить эту программу Bug Bounty в любое время, когда мы посчитаем необходимым по какой-либо причине.
Убедитесь, что вы внимательно прочитали и поняли условия этой программы Bug Bounty, прежде чем отправлять нам отчет об ошибках. Отправляя нам отчет об ошибках, вы соглашаетесь с этими условиями. Если вы не хотите соглашаться с этими условиями, не отправляйте нам отчет об ошибках или иным образом не участвуйте в нашей Программе Bug Bounty.
Спасибо за сотрудничество!