Wildberries будет платить за “поиск жуков”
Маркетплейс после системного недавнего сбоя своей системы предпринимает действия по поддержанию устойчивости. Теперь площадка воспользуется довольно распространённым инструментом – будет платить за поиск багов/уязвимостью системы. По существу, это плата тестировщикам и хакерам за результат. Вознаграждение разное – от тысячи до 150 тысяч и больше.
Программа поиска уязвимостей в системах компании Wildberries
Компания Wildberries предлагает лицам, нашедшим уязвимости в системах компании, возможность получить вознаграждение в рамках заключения с ними договора. К системам компании относятся:
- Официальные сайты: https://www.wildberries.ru https://by.wildberries.ru https://kz.wildberries.ru https://am.wildberries.ru https://kg.wildberries.ru https://uz.wildberries.ru https://wildberries.co.il
- Мобильные приложения
- Портал продавцов
- Мобильное приложение для продавцов
Общие положения
- Договор может быть заключен с лицами старше 18 лет, гражданами РФ, не являющимися сотрудниками Wildberries или компаний, оказывающих ИТ-услуги Wildberries.
- Договор может быть заключен в течение 30 дней после отправки информации об уязвимости с лицом, нашедшим новую уязвимость, о которой Wildberries не было известно ранее или не сообщалось иными лицами.
- В течение 60 дней с момента отправки сведений об уязвимости, участник не в праве распространять информацию публично или любым третьим лицам.
- В рамках данной программы не допускается подбор паролей к учетным записям, проведение различных DoS\DDoS атак и иных деструктивных действий, направленных на инфраструктуру компании.
Адрес для отправки информации об уязвимости
Информация о найденных уязвимостях должна быть направлена на почтовый ящик [email protected] c указанием электронного почтового адреса, по которому можно будет связаться с лицом, нашедшим уязвимость, для согласования дальнейших действий. Приветствуется максимально подробное описание уязвимости с указанием способа повторения/эксплуатации.
Актуальные уязвимости
Уязвимости — технические недостатки, с помощью которых можно нарушить целостность или конфиденциальность пользовательской информации, а также изменить права доступа к ней. В качестве классификации уязвимостей для веб-сервисов используется OWASP Top-10 версии 2010 года, для мобильных приложений — OWASP Mobile Top-10.
Вознаграждения
Далее приведен приблизительный диапазон вознаграждений. Компания оставляет право за собой увеличивать или уменьшать вознаграждение в каждом отдельном случае.
-
50 000 – 150 000 ₽
Критичные — sql-инъекции, позволяющие модифицировать данные, уязвимости в протоколах аутентификации/авторизации, позволяющие получать доступ к персональным данным и т.д.
-
15 000 – 50 000 ₽
Важные — не позволяют модифицировать важные данные, но в целом можно эксплуатировать.
-
1 000 – 15 000 ₽
Минорные — тяжело эксплуатировать.