Program Bug Bounty

O programie

Bezpieczeństwo naszych Klientów jest najważniejsze. Dlatego tworzymy technologię z najwyższą starannością. Pomożesz nam dostarczać najwyższą jakość?

Czym jest program Bug Bounty?

W inFakt działamy dla biznesu. Wierzymy, że podstawą jest zaufanie Klientów do używanej przez nich technologii. Dlatego wprowadzamy program Bug Bounty, w ramach którego badacze bezpieczeństwa mogą zgłaszać do naszego działu technicznego odnalezione podatności. Za odnalezienie podatności lub luk i ich opisanie przewidujemy nagrody pieniężne.

Nagrody

Poniżej prezentujemy szacunkowe dolne granice nagród za zgłoszenie i opisanie błędów. Oznacza to, że podane wartości mogą wzrastać, a inFakt z chęcią nagrodzi osoby, które pomogą nam otaczać Klientów jeszcze pełniejszą ochroną.

 

Kategoria podatności Szacunkowa nagroda Przykład podatności
Krytyczna Od 3000 zł SQL injection, RCE, nieautoryzowany dostęp do baz danych/serwerów/kontenerów, uzyskanie dostępu do kodu źródłowego aplikacji backendowych
Wysoka Od 1000 zł Nieautoryzowany dostęp do systemu bez znajomości danych dostępowych, eskalacja uprawnień pozwalająca na znaczne zmiany w koncie, podmiana numeru konta bez autoryzacji
Średnia Od 500 zł Clickjacking, CSRF
Niska Od 250 zł Błędy logiczne aplikacji, procedury dotyczące większej grupy kont, które wpływają na bezpieczeństwo
Szacunkowe wysokości nagród w programie BugBounty inFakt Sp. z o.o.

Jak zgłosić znaleziony błąd?

Co najważniejsze – trzymamy się jasnych reguł. Prosimy o zachowanie zasady odpowiedzialnego ujawniania podatności (responsible disclosure) – czyli zgłoszenie błędu do zespołu inFakt i NIEUJAWNIANIE go publicznie do czasu otrzymania potwierdzenia, że błąd został naprawiony.

Aby zgłosić błąd związany z bezpieczeństwem, prosimy o korzystanie z formularza dostępnego tutaj lub e-mailowo na adres bugbounty@infakt.pl. W treści zgłoszenia prosimy o zawarcie jak największej ilości informacji opisujących podatność. Mogą to być m.in.:

– informacja na temat miejsca wystąpienia: adres strony, miejsce w aplikacji web lub mobilnej itp.,

– krótki opis błędu bezpieczeństwa, jeśli rodzaj błędu tego wymaga prosimy o załączenie zrzutu ekranu,

– rodzaj podatności,

– sposób postępowania w celu odtworzenia błędu przez zespół bezpieczeństwa,

– dane kontaktowe do osoby zgłaszającej.

Umożliwiamy również zaszyfrowanie informacji naszym publicznym kluczem GPG dostępnym tutaj. Za potwierdzone zgłoszenia, które wg oceny zespołu bezpieczeństwa inFakt kwalifikują się do niniejszego programu przewidujemy wypłacenie nagrody zgodnie z ustalonymi zasadami. Podkreślamy, że decyzja co do wypłacenia nagrody i jej ostateczna wysokość ustalana jest przez inFakt.

Zakres

Program obejmuje wyłącznie zgłoszenia dotyczące poniższych domen oraz aplikacji:

*.infakt.pl,

infaktpliki.pl,

aplikacja mobilna na platformy iOS/iPadOS,

aplikacja mobilna na platformę Android.

Z ww. listy z udziału w programie wyłączone są następujące adresy:

www.infakt.pl,

infakt.pl,

dev.infakt.pl,

*.dev.infakt.pl.

Wykluczenia

– błędy u zewnętrznych partnerów inFakt czy w aplikacjach firm trzecich, które np. wykorzystują interfejs programistyczny API inFakt,

– błędy w bibliotekach oraz programach, które nie były tworzone przez inFakt,

– uzyskanie dostępu do zasobów poprzez dostęp za pomocą danych autoryzacyjnych, które zostały opublikowane przez użytkownika lub jemu wykradzione,

– ataki typu DDoS/DoS na infrastrukturę,

– obejście limitów bezpieczeństwa aplikacji, systemu WAF itp.,

– błędy wynikające z ataku socjotechnicznego (np. polegające na podszyciu się pod inną osobę) lub wywołane z naruszeniem prawa (np. szantaż),

– fizyczne ataki na serwerownię, biura inFakt, jak i pracowników oraz współpracowników,

– oparte o ramki (np. iframe) oraz proxy ruchu,

– podszywanie się pod inFakt np. poprzez modyfikację nagłówków wiadomości e-mail,

– wynikające z wykorzystywanego przez użytkownika oprogramowania, np. przestarzałe wersje przeglądarek czy systemów operacyjnych; wykorzystywania dodatków do przeglądarek czy też mających swe źródło w ataku na urządzenie, z którego korzysta użytkownik,

– podatności z listy OWASP o kategorii LOW,

– niepoprawna konfiguracja rekordów DNS dla poczty (SPF, DKIM, DMARC),

– błędna lub niepoprawna konfiguracja nagłówków,

– błędy związane z protokołem DNS (np. wpisy typu CAA), zapytaniami do bazy WHOIS (np. nadmierna publikacja informacji),

– wszelkie kwestie związane z infrastrukturą, którą nie zarządza inFakt,

– kwestie związane z certyfikatami bezpieczeństwa SSL/TLS,

– błędy w nieaktualnych wersjach aplikacji mobilnych, jak i wersjach dostępnych w ramach publicznych oraz niejawnych testów,

– publicznie dostępne informacje wynikające z założeń działania aplikacji.

Ogólne zasady

1. W inFakt uważnie analizujemy wszystkie zgłoszenia przesłane w ramach programu.

2. Obowiązuje kolejność zgłoszeń, ewentualna wypłata nagrody przysługuje osobie, która jako pierwsza zgłosiła dane zagrożenie.

3. Deklarujemy się odpowiedzieć na każde zgłoszenie przekazane do nas w ramach programu w terminie do 7 dni.

4. Zgłoszenie możemy uznać za kwalifikujące się do programu, jako niekwalifikujące się (np. z powodu zbyt niskiego wpływu na bezpieczeństwo) oraz jako będące duplikatem.

5. Sprzeciwiamy się wykorzystywaniu odkrytego błędu do naruszania prywatności innych osób, uzyskiwaniu nadmiarowych informacji w sposób inny niż jest to niezbędne do udokumentowania podatności na potrzeby programu, przeprowadzaniu działań na cudzych kontach oraz innym działaniom, które są niezgodne z dobrymi praktykami w zakresie bezpieczeństwa, a także tymi niezgodnymi z zasadami współżycia społecznego.

6. Każde zgłoszenie rozpatrujemy indywidualnie, m.in. w zakresie tego, do której kategorii podatności dane zgłoszenie zostanie zakwalifikowane.

7. Warunkiem wypłaty nagrody jest wstrzymanie się z publikacją znalezionego błędu do czasu potwierdzenia jego usunięcia oraz uzyskania na to zgody od inFakt.

8. Do wypłaty będziemy potrzebowali danych, które umożliwią nam spełnienie wymogów stawianych przez prawo podatkowe (m.in. imię i nazwisko, adres, nr PESEL/NIP).

9. W szczególnych przypadkach możemy przyznać dodatkowo inne gratyfikacje niż opisane na niniejszej stronie.

10. Program skierowany jest wyłącznie do osób prywatnych, nie wypłacamy nagród firmom trudniącym się profesjonalnym wyszukiwaniem błędów bezpieczeństwa.

11. Z udziału w programie wykluczeni są pracownicy oraz współpracownicy inFakt, a także ich rodziny.

12. Program nie obejmuje także osób, które pracowały lub współpracowały z podmiotami wykonującymi audyty bezpieczeństwa na zlecenie inFakt.

13. Pełny regulamin dostępny jest tutaj.

~Zespół ds. bezpieczeństwa inFakt