1/4
Для получения виртуального номера пополните баланс личного кабинета. Нажмите на «0.00 ₽» в правой верхней части сайта.
  • lang icon
    Русский
  • lang icon
    English
  • lang icon
    中國
  • lang icon
    Español
Free Price
Free price
Мы используем файлы cookie

Это безопасно: cookie хранятся только на вашем устройстве. Если вы не против, нажмите «Принять все cookie» или продолжите просмотр сайта. Политика обработки персональных данных.

Охота за ошибками

Вам нужно найти уязвимости в инфраструктуре, сервисах и приложениях, которые работают с приватными данными. Территория охоты: домены, мобильные и десктопные приложения.

  • sms-activate.org
  • hstock.org
  • proxy.sms-activate.org

Вознаграждения

Размер вознаграждения зависит от критичности уязвимости, простоты её эксплуатации и воздействию на данные пользователей. Решение об уровне критичности часто принимается совместно с разработчиками, и это может занимать какое-то время.

УязвимостьВознаграждение
Remote code execution (RCE)110 000 руб. — 350 000 руб.
Local files access и другое. (LFR, RFI, XXE)35 000 руб. — 220 000 руб.
Инъекции20 000 руб. — 220 000 руб.
Cross-Site Scripting (XSS), исключая self-XSS5 000 руб. - 30 000 руб.
SSRF, кроме слепых25 000 руб. — 100 000 руб.
Слепая SSRF5 000 руб. — 30 000 руб.
Утечки памяти / IDORs / Раскрытие информации с защищенными личными данными или конфиденциальной информацией пользователя3000 руб. — 85 000 руб.
Другие подтвержденные уязвимостиЗависит от критичности

Участвуют все приложения SMS-Activate, которые имеют дело с пользовательскими данными. Наши приложения можно найти в Google Play и App Store по названию SMS-Activate

Мобильные приложения

Размер вознаграждения зависит от критичности уязвимости, простоты её эксплуатации и воздействию на данные пользователей. Решение об уровне критичности часто принимается совместно с разработчиками, и это может занимать какое-то время.

УязвимостьВознаграждение
Remote code execution (RCE)110 000 руб. — 350 000 руб.
Local files access и другое. (LFR, RFI, XXE)35 000 руб. — 220 000 руб.
Инъекции20 000 руб. — 220 000 руб.
SSRF, кроме слепых25 000 руб. — 100 000 руб.
Слепая SSRF5 000 руб. — 30 000 руб.
Утечки памяти / IDORs / Раскрытие информации с защищенными личными данными или конфиденциальной информацией пользователя3000 руб. — 85 000 руб.
Cross-Site Request Forgery (СSRF, Flash crossdomain requests, CORS)2500 руб. — 25 000 руб.
Другие подтвержденные уязвимостиЗависит от критичности

Исключения из программы

SMS-Activate не выплачивает вознаграждение за:

  • отчеты сканеров безопасности и других автоматизированных инструментов ;
  • раскрытие не критичной информации, такой как наименование программного обеспечения или его версии ;
  • раскрытие публичной пользовательской информации;
  • проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации эксплуатации ;
  • информацию об IP-адресах, DNS-записях и открытых портах SMS-Activate ;
  • сообщения об ошибках нулевого дня в TLS;
  • отчеты о небезопасных шифрах SSL/TLS без демонстрации эксплуатации ;
  • отсутствие SSL и других BCP (best current practice);
  • физические атаки на собственность SMS-Activate или его дата-центры ;
  • проблемы отсутствия механизмов безопасности без демонстрации эксплуатации, которая может затронуть данные пользователей. Например, отсутствие CSRF-токенов, Clickjacking и т. д. ;
  • Login/Logout CSRF или других действий без доказанного влияния на безопасность ;
  • открытые перенаправления, но если только проблема не влияет на безопасность сервиса, например, позволяет украсть пользовательский аутентификационный токен. С этой проблемой вы можете претендовать на добавление в Зал Славы ;
  • инъекции формул Excel и CSV;
  • отсутствие CSP-политик на домене или небезопасная конфигурация CSP ;
  • XSS и CSRF, которые требуют дополнительных действий от пользователя. Вознаграждение выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий ;
  • XSS, которая требует внедрения или подделки какого-либо заголовка, например, Host, User-Agent, Referer, Cookie и т. д. ;
  • Tabnabbing — target="_blank" в ссылках без доказанного влияния на безопасность ;
  • Content spoofing, content injection или text injection без доказанного влияния на безопасность ;
  • отсутствие флагов на нечувствительных файлах cookie;
  • наличие атрибута автозаполнения на веб-формах;
  • отсутствие Rate Limit без доказанного влияния на безопасность;
  • наличие или отсутствие записей SPF и DKIM;
  • использование известной уязвимой библиотеки без демонстрации эксплуатации ;
  • проблемы, для эксплуатации которых требуется использование техник социальной инженерии, сообщений о применении фишинга ;
  • социальную инженерию сотрудников или подрядчиков SMS-activate.org ;
  • уязвимости в партнерских сервисах, если не затронуты данные пользователей SMS-activate.org ;
  • сообщения об уязвимости паролей или парольных политик и других аутентификационных данных пользователей ;
  • уязвимости на мобильных устройствах, которые для эксплуатации требуют наличие root-привилегий, jailbreak и любой другой модификации приложений или устройств ;
  • раскрытие Access keys, которые имеют ограничения или зашитые в.apk и не дают доступа к персональным данным ;
  • уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ ;
  • атаки, требующие физического доступа к устройству пользователя;
  • факт наличия возможности декомпиляции или использования обратной разработки приложений ;
{{texts.verificationNumberText}}
{{texts.verificationNumberInfo}}

{{ texts.verificationVoiceTextFirst }}

{{ texts.verificationVoiceTextSecond }}

{{ texts.verificationVoiceTextThird }}