Как сообщить об уязвимостях

Мы в Pyrus очень серьёзно относимся к безопасности и исследуем все обнаруженные уязвимости. На этой странице описана наша программа устранения потенциальных уязвимостей (далее — программа) во всех приложениях Pyrus.

Обнаружение и сообщение о предполагаемых уязвимостях

Если у вас есть подозрения, касающиеся безопасности или конфиденциальности данных в Pyrus, пожалуйста, напишите нам на security@pyrus.com. Информация, которой вы поделитесь с Pyrus, останется конфиденциальной. Она не будет передана третьим лицам без вашего разрешения.

Чтобы мы могли наиболее эффективно ответить, пожалуйста, по возможности предоставьте сопроводительные материалы (подтверждающий код, результат прогона утилит и т.д.), которые помогут нам установить суть и степень потенциальной проблемы.

Обычно мы отвечаем в течение 2 рабочих дней, подтверждаем получение сообщения и намечаем следующие шаги.

При исследовании уязвимости, пожалуйста, используйте только ваши собственные аккаунты. Никогда не предпринимайте попыток получить доступ к чьим-то данным. Мы рекомендуем создать отдельный аккаунт только для тестирования, поскольку мы не можем гарантировать, что вы сохраните доступ к своей учетной записи, если она будет отключена из-за ваших действий по тестированию.

Из соображений о доступности наших услуг для всех пользователей, пожалуйста, не пытайтесь выполнять DoS-атаки.

Вознаграждение за сообщение об уязвимости

Обнаруживший уязвимость может претендовать на денежное вознаграждение, которое выплачивается после завершения проверки. Вы несёте ответственность за все потенциальные налоговые обязательства в зависимости от страны вашего проживания и гражданства.

Размер вознаграждения выбирается по усмотрению Pyrus. Как правило, более высокое вознаграждение выплачивается за изобретательные и серьёзные уязвимости или те, которые могут повлиять на многих пользователей. Более низкое вознаграждение — за уязвимости, которые появляются при нетипичном поведении пользователя.

Если Pyrus принимает решение о вознаграждении, как правило, оно выплачивается в течение 1-2 недель после получения первоначального сообщения на электронную почту security@pyrus.com.

Соответствующие программе уязвимости

Любая проблема, которая ставит под угрозу конфиденциальность или целостность пользовательских данных, скорее всего, относится к сфере действия программы. Распространённые примеры:

  • Межсайтовый скриптинг (XSS),
  • Межсайтовая подделка запроса (CSRF),
  • Уязвимости в аутентификации и авторизации,
  • Ошибки выполнения кода на стороне сервера.

Кроме того, программа распространяется на возможности злоупотребления при использовании веб-приложения, мобильного или десктопного приложений Pyrus, если это может привести к значительному ущербу.

Несоответствующие программе уязвимости

В зависимости от потенциального ущерба, в некоторых случаях после рассмотрения сообщения об уязвимости Pyrus может принять решение не выплачивать денежное вознаграждение. Ниже перечислены некоторые типичные ситуации такого рода:

Уязвимости, воздействующие на пользователей устаревших браузеров. Модель безопасности сети постоянно совершенствуется. Как правило, вознаграждение не будет выплачено, если проблема затрагивает только пользователей браузеров, не включённых в следующий список:

  • Google Chrome, текущая и две предыдущие версии,
  • Firefox, текущая и две предыдущие версии,
  • Safari, текущая и две предыдущие версии,
  • Microsoft Edge.

Уязвимости, воздействующие на пользователей устаревших мобильных операционных систем. Аналогично, вознаграждение не будет выплачено, если проблема затрагивает только пользователей мобильных приложений Pyrus, установленных на мобильные операционные системы, кроме следующих:

  • Android 5.0 и выше,
  • iOS 11.0 и выше.

Недавние уязвимости в сторонних зависимостях. Как правило, вознаграждение за сообщение об уязвимости в используемой в Pyrus сторонней библиотеке, программном модуле и т.д. не будет выплачено, если прошло меньше 30 дней с момента выхода исправленной версии библиотеки, модуля и т.д.

Если кто-то ещё нашёл такую же уязвимость. Вы имеете право на вознаграждение только в том случае, если вы были первым человеком, который предупредил нас о ранее неизвестной уязвимости.

Если вы публично раскроете ошибку до того, как у Pyrus будет возможность её исправить. Мы в Pyrus прилагаем все усилия, чтобы оперативно реагировать и исправлять ошибки в разумные сроки. Взамен мы просим уведомлять нас заранее обо всех потенциальных уязвимостях.