Пожалуйста, внимательно прочитайте наши правила, поскольку в них разъясняется, за обнаружение каких типов проблем безопасности можно получить вознаграждение. Рассматриваются и вознаграждаются только сообщения, отправленные через нашу контактную форму (чтобы открыть ее, нажмите на кнопку внизу этой страницы).
В Doist программа Bug Bounty – ключевой компонент наших усилий по обеспечению безопасности. Мы будем рады сотрудничать с вами, если вы обнаружили проблему безопасности, о которой, по вашему мнению, мы должны знать. За ваши усилия вам может быть назначено денежное вознаграждение.
Соответствие требованиям
- Чтобы иметь право на вознаграждение, вы должны первым сообщить о проблеме.
- Вы должны быть готовы предоставить дополнительную информацию, необходимую нашей команде для воспроизведения и решения проблемы.
Правила программы
- Следуйте рекомендациям HackerOne по раскрытию информации.
- Удалите все тестовые данные или учетные записи, которые вы создали в рамках исследования.
- Не подвергайте атаке пользователей и не пытайтесь с ними взаимодействовать.
- Не используйте украденные пользовательские данные, включая детали для входа в учетную запись.
- Не используйте автоматическое сканирование или тестирование, включая DoS-атаки.
- Не используйте социальную инженерию, например фишинг.
- Не взаимодействуйте физически с сотрудниками Doist или их оборудованием.
Допустимые цели
- www.todoist.com
- www.twist.com
- Текущие версии Todoist и Twist для Windows, macOS, Linux, iOS и Android
- Для тестирования, пожалуйста, используйте в качестве аккаунта потерпевшего todoistbounty@protonmail.com.
Представление отчета
- Предоставьте подробный отчет, включающий четко воспроизводимые шаги, эффект воздействия на наши продукты и пользователей, факторы, любые использованные тестовые аккаунты и тестовые данные, которые вы получили.
- Обязательно сообщайте о не связанных друг с другом уязвимостях в отдельных тикетах.
- Обязательно дайте сообщению четкое название, описывающее уязвимость.
- Ваше сообщение должно содержать письменные инструкции по воспроизведению уязвимости. Отчет без четких шагов по воспроизведению или содержащий только видео PoC может быть лишен права на вознаграждение.
Награда
Вы будете вправе получить денежное вознаграждение, если:- Вы первым сообщили об уязвимости в продукте
- Уязвимость будет расценена нашей командой как очевидная проблема безопасности
- Вами соблюдены все правила Программы
Все суммы вознаграждений определяются нашей командой. Мы оцениваем каждое сообщение и присваиваем ему уровень серьезности, который определяет размер получаемого денежного вознаграждения. Уровни серьезности определяются внутри компании на основе типа уязвимости и потенциальной опасности. Ниже представлены примеры каждого уровня серьезности:
- Проблемы, не связанные с безопасностью, например код HTTP-ответа кроме 200, ошибки приложения или сервера и т.д.
- Проблемы, не имеющие явного влияния на безопасность, такие как CSRF при выходе из системы, отсутствие заголовков безопасности HTTP, проблемы с SSL, проблемы с политикой паролей или clickjacking на страницах без конфиденциальных действий.
- Проблемы, затрагивающие устаревшие приложения или компоненты, которые больше не используются или не обслуживаются
- Проблемы, затрагивающие сторонние сервисы и приложения, которые мы используем (например, Firebase, ZenDesk).
- Проблемы, связанные со спамом или методами социальной инженерии, такими как SPF и DKIM, а также отсутствие DNSSEC.
- Проблемы, связанные с раскрытием информации о сервере, а именно заголовков ответов `X-Powered-by` и `Server`. Исключения могут быть сделаны в случаях, когда раскрытая информация содержит версию сервера с сопутствующим раскрытием CVE.
- Проблемы, связанные с подделкой запросов на стороне сервера (SSRF) в сервисах, которые выполняют активные запросы по своей конструкции, если не доказано, что возможна утечка конфиденциальной информации.
- Баги, требующие крайне маловероятного взаимодействия с пользователем (например, захват учетной записи через вход в систему SSO).
- Сообщения об уязвимостях, предполагающие наличие привилегированного доступа к устройствам пользователя или находящиеся вне нашего контроля. К ним относятся, в частности: доступ к cookies браузера и/или другим маркерам, используемым для выдачи себя за пользователя, доступ к электронной почте пользователя и т.д.
- Угрозы кликджекинга (clickjacking) на страницах с предварительной аутентификацией, отсутствие X-Frame-Options и любые другие смежные проблемы кликджекинга.
- Проблемы Cross-OriginResourceSharing (CORS), когда сервер НЕ отвечает с заголовком `Access-Control-Allow-Credentials: true`.
- Отсутствие ограничений по скорости запросов, если это не вызывает уязвимость, которой можно воспользоваться.
- Перечисление электронной почты пользователя на страницах регистрации, входа в систему и восстановления пароля.
- Файлы, доступные в URI с путем, который начинается с `/.well-known (так называемые well-known URI).
- Обход 2FA через сброс пароля
- Проблемы в конкретных клиентских приложениях
- Хранение данных пользователей в незашифрованном виде
- Недостаток обфускации
- Эксплойты для взлома при работе программы, которые включают манипуляции с запущенным кодом или средой
- Открытые редиректы
- Неправильная конфигурация сервера или ошибки инициализации
- Утечки информации или раскрытие конфиденциальных данных, не включая пользовательские
- Проблемы Cross-OriginResourceSharing (CORS), когда сервер отвечает заголовком `Access-Control-Allow-Credentials: true` на запрос со сторонним заголовком `Origin` (т.е. не `*.todoist.com`, `*.twist.com`).
- Отраженный XSS
- Проблемы смешанного содержимого, если целевой URL не отвечает заголовком 'Strict-Transport-Security' (он же HSTS). Риск все еще существует, но ограничен одним взаимодействием на домен/поддомен (в зависимости от значения HSTS). В 2021 году браузеры перешли на HTTPS по умолчанию, что еще больше нивелирует эту проблему.
- Другие проблемы низкой степени серьезности
- CSRF / XSRF
- SSR-уязвимости внутренних сервисов
- Хранимый XSS
- Другие проблемы средней степени серьезности
- Утечки информации или раскрытие конфиденциальных данных, включая пользовательские
- Другие проблемы высокой степени серьезности
- Внедрение SQL-кода
- Удаленное выполнение кода
- Повышение привилегий
- Нарушенная аутентификация
- SSR-уязвимости внутренних сервисов с высокой угрозой безопасности
- Другие проблемы критической степени серьезности
| Приложение | Нет | Низкая | Средняя | Высокая | Критическая |
|---|---|---|---|---|---|
| Todoist | $0 | $100 | $200 | $500 | $1000 |
| Twist | $0 | $50 | $100 | $250 | $500 |
Уязвимости в наших мобильных приложениях для Android могут стать предметом получения дополнительного вознаграждения по программе Google Play Security Rewards.
Все вознаграждения выплачиваются только через PayPal.
Команда Doist оставляет за собой право определять, соответствует ли представленная уязвимость обозначенным критериям.
Все решения о размере вознаграждения, принятые командой Bug Bounty в Doist, являются окончательными.