Program Bug Bounty

Pomôžte nám, aby boli naši zákazníci u nás ešte viac v bezpečí! Ako sa hovorí „Viac očí viac vidí“– a preto vyhlasujeme lov na chyby s programom Bug Bounty!
"Bounty hunting" znamená v preklade niečo ako "Lov na odmenu". A my sme sa rozhodli jeden taký lov vyhlásiť, podobne ako naši kolegovia v Deutsche Telekom ešte v roku 2013. Cieľom lovu sú tzv. „bugy“ – chyby a slabina na našich webových stránkach. Aj keď sa o bezpečnosť našich služieb neustále staráme ako najlepšie vieme, sme realisti. A je nám jasné, že aj popri všetkej snahe, spoľahlivých systémoch a neustálej kontrole, sa môže objaviť niekde nejaká trhlinka. Presne preto sme sa rozhodli poprosiť o pomoc aj vás. A samozrejme, nechceme to úplne zadarmo. V tomto programe sa zameriame výhradne na bezpečnosť nášho portálu www.telekom.sk. Bug Bounty bude prebiehať tak dlho, kým to bude potrebné a nevyhlásime koniec loveckej sezóny. Na love sa môže prakticky zúčastniť ktokoľvek, okrem súčasných a bývalých zamestnancov všetkých spoločností skupiny Deutsche Telekom, ako aj ich príbuzných.
Ešte pred začatím lovu je dobré si povedať niečo o základných pravidlách:

Pravidlá lovu

  • Odmena patrí každému, kto odhalí chybu, ktorá nie je verejne známa. Musí ale ísť o prvý report (právo na odmenu má teda len ten, kto bug nahlási ako prvý).
  • Každý účastník programu, ktorý narazí na zraniteľnosť portálov, je viazaný tzv. zodpovednou mlčanlivosťou (pozri nižšie).
  • Chyby ulovené za pomoci skenovacích nástrojov sa nepočítajú.
  • Odmena sa nevypláca ani za bugy založené na zastaraných (neopatchovaných) softvérových súčastiach tretích strán (teda nie T-Mobile alebo Deutsche Telekom).
  • Report musí obsahovať príklad (unikátny dotaz alebo PoC kód) a detailný opis chyby vrátane typu webového prehliadača a jeho nastavení.
  • Každý report prosím posielajte ako samostatný e-mail na adresu bugbounty(zavináč)telekom.sk.

Aké chyby hľadáme a aké sú odmeny?

Výška odmeny je závislá od prípadu a bude posudzovaná individuálne (záleží na závažnosti chyby). Aby ste mali predstavu, tu je stručný prehľad:

  • SQL (exploitable) - odmena až 1 500 €.
  • Remote Code Execution - odmena až 1 500 €.
  • CSRF (authenticated) - odmena až 750 €.
  • LFI / RFI - odmena až 300 €.

A navyše bude každý úspešný účastník zverejnený aj na našej stene slávy (samozrejme, pokiaľ bude chcieť).

Každý účastník je viazaný „zodpovednou mlčanlivosťou“. Čo to znamená?

  • Účastník nemôže poskytnúť akékoľvek informácie o objavenej chybe tretej strane.
  • Nesmie zbierať dáta, ku ktorým sa prostredníctvom bezpečnostnej chyby dostane a ktoré by mohli byť považované za zákaznícke, a nesmie ich odovzdať nikomu ďalšiemu.
  • Účastník nám poskytne všetky informácie o chybe, aby sme ju mohli čo najskôr opraviť.
  • Účastník vynaloží všetko svoje úsilie, aby pri bezpečnostnom testovaní neobmedzil dostupnosť akejkoľvek nami poskytovanej služby.

Ak by ste mali ďalšie otázky, kontaktujte nás na adrese bugbounty(zavináč)telekom.sk.
Všetko jasné?
Želáme úspešný lov!

Stena slávy

Pravidelne aktualizujeme zoznam našich hrdinov - lovcov, ktorí sa aktívne zapojili do programu Bug Bounty.

Milan Kyselica - Cross-site scripting (XSS)

Na stiahnutie

Pravidlá   Pravidlá programu „Bug Bounty“
| PDF | 20. 8. 2018 | 226 kB