- sms-activate.org
- hstock.org
- proxy.sms-activate.org
Вознаграждения
Размер вознаграждения зависит от критичности уязвимости, простоты её эксплуатации и воздействию на данные пользователей. Решение об уровне критичности часто принимается совместно с разработчиками, и это может занимать какое-то время.
Участвуют все приложения SMS-Activate, которые имеют дело с пользовательскими данными. Наши приложения можно найти в Google Play и App Store по названию SMS-Activate
Мобильные приложения
Размер вознаграждения зависит от критичности уязвимости, простоты её эксплуатации и воздействию на данные пользователей. Решение об уровне критичности часто принимается совместно с разработчиками, и это может занимать какое-то время.
Исключения из программы
SMS-Activate не выплачивает вознаграждение за:
- отчеты сканеров безопасности и других автоматизированных инструментов;
- раскрытие не критичной информации, такой как наименование программного обеспечения или его версии;
- раскрытие публичной пользовательской информации;
- проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации эксплуатации;
- информацию об IP-адресах, DNS-записях и открытых портах SMS-Activate;
- сообщения об ошибках нулевого дня в TLS;
- отчеты о небезопасных шифрах SSL/TLS без демонстрации эксплуатации;
- отсутствие SSL и других BCP (best current practice);
- физические атаки на собственность SMS-Activate или его дата-центры;
- проблемы отсутствия механизмов безопасности без демонстрации эксплуатации, которая может затронуть данные пользователей. Например, отсутствие CSRF-токенов, Clickjacking и т. д.;
- Login/Logout CSRF или других действий без доказанного влияния на безопасность;
- открытые перенаправления, но если только проблема не влияет на безопасность сервиса, например, позволяет украсть пользовательский аутентификационный токен. С этой проблемой вы можете претендовать на добавление в Зал Славы;
- инъекции формул Excel и CSV;
- отсутствие CSP-политик на домене или небезопасная конфигурация CSP;
- XSS и CSRF, которые требуют дополнительных действий от пользователя. Вознаграждение выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий;
- XSS, которая требует внедрения или подделки какого-либо заголовка, например, Host, User-Agent, Referer, Cookie и т. д.;
- Tabnabbing — target="_blank" в ссылках без доказанного влияния на безопасность;
- Content spoofing, content injection или text injection без доказанного влияния на безопасность;
- отсутствие флагов на нечувствительных файлах cookie;
- наличие атрибута автозаполнения на веб-формах;
- отсутствие Rate Limit без доказанного влияния на безопасность;
- наличие или отсутствие записей SPF и DKIM;
- использование известной уязвимой библиотеки без демонстрации эксплуатации;
- проблемы, для эксплуатации которых требуется использование техник социальной инженерии, сообщений о применении фишинга;
- социальную инженерию сотрудников или подрядчиков SMS-activate.org;
- уязвимости в партнерских сервисах, если не затронуты данные пользователей SMS-activate.org;
- сообщения об уязвимости паролей или парольных политик и других аутентификационных данных пользователей;
- уязвимости на мобильных устройствах, которые для эксплуатации требуют наличие root-привилегий, jailbreak и любой другой модификации приложений или устройств;
- раскрытие Access keys, которые имеют ограничения или зашитые в.apk и не дают доступа к персональным данным;
- уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ;
- атаки, требующие физического доступа к устройству пользователя;
- факт наличия возможности декомпиляции или использования обратной разработки приложений;