Program Bug Bounty
O programie
Bezpieczeństwo naszych Klientów jest najważniejsze. Dlatego tworzymy technologię z najwyższą starannością. Pomożesz nam dostarczać najwyższą jakość?
Czym jest program Bug Bounty?
W inFakt działamy dla biznesu. Wierzymy, że podstawą jest zaufanie Klientów do używanej przez nich technologii. Dlatego wprowadzamy program Bug Bounty, w ramach którego badacze bezpieczeństwa mogą zgłaszać do naszego działu technicznego odnalezione podatności. Za odnalezienie podatności lub luk i ich opisanie przewidujemy nagrody pieniężne.
Nagrody
Poniżej prezentujemy szacunkowe dolne granice nagród za zgłoszenie i opisanie błędów. Oznacza to, że podane wartości mogą wzrastać, a inFakt z chęcią nagrodzi osoby, które pomogą nam otaczać Klientów jeszcze pełniejszą ochroną.
Kategoria podatności | Szacunkowa nagroda | Przykład podatności |
Krytyczna | Od 5000 zł | SQL injection, RCE, nieautoryzowany dostęp do infrastruktury (baz danych, serwerów, kontenerów…), uzyskanie dostępu do kodu źródłowego aplikacji backendowych |
Wysoka | Od 2000 zł | Nieautoryzowany dostęp do systemu bez znajomości danych dostępowych, eskalacja uprawnień pozwalająca na znaczne zmiany w koncie, podmiana numeru konta bez autoryzacji |
Średnia | Od 1000 zł | Clickjacking |
Niska | Od 100 zł | XSS, błędy logiczne aplikacji, procedury dotyczące większej grupy kont, które wpływają na bezpieczeństwo |
Jak zgłosić znaleziony błąd?
Co najważniejsze – trzymamy się jasnych reguł. Prosimy o zachowanie zasady odpowiedzialnego ujawniania podatności (responsible disclosure) – czyli zgłoszenie błędu do zespołu inFakt i NIEUJAWNIANIE go publicznie do czasu otrzymania potwierdzenia, że błąd został naprawiony.
W przypadku chęci kontaktu w innej sprawie niż program Bug Bounty – prosimy korzystać z danych zawartych tutaj .
Aby zgłosić błąd związany z bezpieczeństwem, prosimy przesłanie wiadomości e-mail na adres bugbounty@infakt.pl. W treści zgłoszenia prosimy o zawarcie jak największej ilości informacji opisujących podatność. Mogą to być m.in.:
– informacja na temat miejsca wystąpienia: adres strony, miejsce w aplikacji web lub mobilnej itp.,
– krótki opis błędu bezpieczeństwa, jeśli rodzaj błędu tego wymaga prosimy o załączenie zrzutu ekranu,
– rodzaj podatności,
– sposób postępowania w celu odtworzenia błędu przez zespół bezpieczeństwa,
– dane kontaktowe do osoby zgłaszającej.
Umożliwiamy również zaszyfrowanie informacji naszym publicznym kluczem GPG dostępnym tutaj. Za potwierdzone zgłoszenia, które wg oceny zespołu bezpieczeństwa inFakt kwalifikują się do niniejszego programu przewidujemy wypłacenie nagrody zgodnie z ustalonymi zasadami. Podkreślamy, że decyzja co do wypłacenia nagrody i jej ostateczna wysokość ustalana jest przez inFakt.
Zakres
Program obejmuje wyłącznie zgłoszenia dotyczące poniższych domen oraz aplikacji:
– *.infakt.pl,
– infaktpliki.pl,
– aplikacja mobilna na platformy iOS/iPadOS,
– aplikacja mobilna na platformę Android.
Z ww. listy z udziału w programie wyłączone są następujące adresy:
– infakt.pl,
– pomoc.infakt.pl,
– *.pomoc.infakt.pl.
Wykluczenia
– błędy u zewnętrznych partnerów inFakt czy w aplikacjach firm trzecich, które np. wykorzystują interfejs programistyczny API inFakt,
– błędy w bibliotekach oraz programach, które nie były tworzone przez inFakt,
– uzyskanie dostępu do zasobów poprzez dostęp za pomocą danych autoryzacyjnych, które zostały opublikowane przez użytkownika lub jemu wykradzione,
– podatności wynikające z wykorzystywanego przez użytkownika oprogramowania, np. przestarzałe wersje przeglądarek czy systemów operacyjnych; wykorzystywania dodatków do przeglądarek czy też mających swe źródło w ataku na urządzenie, z którego korzysta użytkownik (m.in. ataki Self-XSS),
– ataki typu DDoS/DoS na infrastrukturę,
– obejście limitów bezpieczeństwa aplikacji, systemów bezpieczeństwa infrastruktury itp.,
– błędy wynikające z ataku socjotechnicznego (np. polegające na podszyciu się pod inną osobę) lub wywołane z naruszeniem prawa (np. szantaż),
– fizyczne ataki na serwerownię, biura inFakt, jak i pracowników oraz współpracowników,
– oparte o ramki (np. iframe) oraz proxy ruchu,
– Cross-Site Request Forgery (CSRF) we wszelkich podstronach serwisu,
– ataki typu brute-force (siłowe, słownikowe…) skutkujące odkryciem danych dostępowych,
– podszywanie się pod inFakt np. poprzez modyfikację nagłówków wiadomości e-mail,
– podatności z listy OWASP o kategorii LOW,
– ataki typu Content Spoofing,
– niepoprawna konfiguracja rekordów DNS dla poczty (SPF, DKIM, DMARC),
– błędna lub niepoprawna konfiguracja nagłówków,
– błędy związane z protokołem DNS i pochodnymi (np. wpisy typu CAA, TXT), zapytaniami do bazy WHOIS (np. nadmierna publikacja informacji),
– wszelkie kwestie związane z infrastrukturą, którą nie zarządza inFakt,
– kwestie związane z certyfikatami bezpieczeństwa (np. SSL/TLS, GPG, PGP…),
– błędy w nieaktualnych wersjach aplikacji mobilnych, jak i wersjach dostępnych w ramach publicznych oraz niejawnych testów,
– publicznie dostępne informacje wynikające z założeń działania aplikacji,
– elementy aplikacji wczytywane w sposób jawny lub niejawny z podstron w domenach (subdomenach) wyłączonych w udziału w programie,
– zgłoszenia dotyczące wymagań w zakresie złożoności i siły haseł (np. brak mechanizmu w danym formularzu albo możliwość pominięcia mechanizmu),
– zgłoszenia o otwartych portach sieciowych usług umożliwiających zarządzanie infrastrukturą (SSH, SFTP itp.), gdy dana usługa wymaga dalszej autoryzacji lub fakt jej publicznego udostępnienia nie wpływa bezpośrednio na bezpieczeństwo,
– nadmiarowe informacje przekazywane w nagłówkach protokołu HTTP (np. o wersjach serwera www) oraz innych protokołów sieciowych (np. DNS),
– enumeracja kont i innych zasobów,
– e-mail flooding/bombing,
– brak zabezpieczenia przez mechanizmy typu captcha lub rate-limiting mało wrażliwych elementów systemu,
– CSV/XML injection i ataki z użyciem innych typów plików,
– odkrycie zasobów z informacjami niewrażliwymi, które nie są linkowane z innych stron serwisu,
– brak implementacji flag HttpOnly/Secure dla plików cookies,
– zasoby o kodach odpowiedzi innych niż http/200,
– możliwość wgrania do aplikacji lub pobrania z aplikacji zainfekowanego pliku.
Ogólne zasady
1. W inFakt uważnie analizujemy wszystkie zgłoszenia przesłane w ramach programu.
2. Obowiązuje kolejność zgłoszeń, ewentualna wypłata nagrody przysługuje osobie, która jako pierwsza zgłosiła dane zagrożenie.
3. Deklarujemy się odpowiedzieć na każde zgłoszenie przekazane do nas w ramach programu w terminie do 30 dni roboczych.
4. Zgłoszenie możemy uznać za kwalifikujące się do programu, jako niekwalifikujące się (np. z powodu zbyt niskiego wpływu na bezpieczeństwo) oraz jako będące duplikatem.
5. Sprzeciwiamy się wykorzystywaniu odkrytego błędu do naruszania prywatności innych osób, uzyskiwaniu nadmiarowych informacji w sposób inny niż jest to niezbędne do udokumentowania podatności na potrzeby programu, przeprowadzaniu działań na cudzych kontach oraz innym działaniom, które są niezgodne z dobrymi praktykami w zakresie bezpieczeństwa, a także tymi niezgodnymi z zasadami współżycia społecznego.
6. Każde zgłoszenie rozpatrujemy indywidualnie, m.in. w zakresie tego, do której kategorii podatności dane zgłoszenie zostanie zakwalifikowane.
7. Warunkiem wypłaty nagrody jest wstrzymanie się z publikacją znalezionego błędu do czasu potwierdzenia jego usunięcia oraz uzyskania na to zgody od inFakt.
8. Do wypłaty będziemy potrzebowali danych, które umożliwią nam spełnienie wymogów stawianych przez prawo podatkowe (m.in. imię i nazwisko, adres, nr PESEL/NIP).
9. W szczególnych przypadkach możemy przyznać dodatkowo inne gratyfikacje niż opisane na niniejszej stronie.
10. Z udziału w programie wykluczeni są pracownicy oraz współpracownicy inFakt, a także ich rodziny.
11. Program nie obejmuje także osób, które pracowały lub współpracowały z podmiotami wykonującymi audyty bezpieczeństwa na zlecenie inFakt.
12. Pełny regulamin dostępny jest tutaj.
13. Zasady powierzenia danych osobowych w ramach programu dostępne są tutaj.
~Zespół ds. bezpieczeństwa inFakt