Программа Bug Bounty

Безопасность является нашим главным приоритетом. Мы вознаграждаем исследователей безопасности, которые помогают нам выявлять уязвимости и поддерживать безопасность DDownload для всех пользователей.

Сколько мы платим

Critical

от 1 000 до 5 000 EUR

Уязвимости, представляющие непосредственную и серьезную угрозу для нашей платформы, пользователей или инфраструктуры.

Примеры

Remote Code Execution (RCE)
SQL Injection с утечкой данных
Обход аутентификации
Манипуляция платежной системой
Полный захват аккаунта

High

от 500 до 1 000 EUR

Значительные уязвимости, которые могут привести к несанкционированному доступу или раскрытию данных.

Примеры

Stored XSS на критических страницах
SQL Injection (ограниченное воздействие)
Повышение привилегий
SSRF с доступом к внутренней сети
Критические уязвимости IDOR

Medium

от 100 до 500 EUR

Умеренные уязвимости с влиянием на безопасность, которые обычно требуют взаимодействия с пользователем.

Примеры

Reflected XSS
CSRF на чувствительных действиях
Незначительные проблемы IDOR
Open redirect
Обход ограничения частоты запросов

Примечание: Окончательные суммы вознаграждений определяются нашей командой безопасности на основе возможности эксплуатации, воздействия и качества отчета. Дубликаты отчетов не подлежат вознаграждению.

Что входит в область действия

В области действия

ddownload.com и все поддомены
Загрузка / скачивание файлов: обработка, хранение, доставка
Аутентификация: вход, регистрация, сброс пароля
Обработка платежей: покупки и транзакции Ultimate
API endpoints: публичные и авторизованные вызовы
Панель администратора: только с доказательством концепции

Вне области действия

Denial of Service (DoS/DDoS)
Социальная инженерия (фишинг, вишинг)
Тесты физической безопасности
Сторонние сервисы и интеграции
Проблемы в устаревших браузерах
Self-XSS или проблемы, требующие значительного взаимодействия с пользователем
Ограничение частоты запросов на некритических endpoints

Как подать отчет

Обнаружьте

Выявите потенциальную уязвимость безопасности в нашей области действия.

Задокументируйте

Создайте подробный отчет с шагами воспроизведения и доказательством концепции.

Отправьте

Отправьте ваш отчет по электронной почте нашей команде безопасности.

Получите вознаграждение

После проверки вы получите вознаграждение и по желанию публичное упоминание.

Время ответа: Мы стремимся подтвердить получение всех отчетов в течение 48 часов и предоставить первую оценку в течение 5 рабочих дней. Критические уязвимости обрабатываются в приоритетном порядке.

Чего мы ожидаем

Избегайте нарушений конфиденциальности, уничтожения данных и сбоев в работе сервисов любой ценой.
Не получайте доступ к данным других пользователей, не изменяйте и не удаляйте их.
Не проводите атаки, которые могут повлиять на надежность наших сервисов.
Тестируйте только учетные записи, которые принадлежат вам или на которые у вас есть явное разрешение.
Не используйте автоматические сканеры, генерирующие чрезмерный трафик.
Сохраняйте конфиденциальность деталей уязвимости до тех пор, пока мы не устраним проблему.
Сообщайте об одной уязвимости в одном отчете для более быстрой обработки.
Вы должны быть первоначальным обнаружителем уязвимости.

Safe Harbor: Мы не будем предпринимать юридических действий против исследователей, которые соблюдают эти правила и действуют добросовестно. Исследования безопасности, проводимые в рамках данной политики, считаются авторизованным тестированием.

Готовы отправить отчет?

Отправьте подробный отчет о безопасности нашей команде. Мы ответим в течение 48 часов.

[email protected]

Пожалуйста, укажите "Bug Bounty" в теме письма и по возможности зашифруйте конфиденциальную информацию нашим PGP-ключом.

Выберите язык

Программа Bug Bounty

Сколько мы платим

Что входит в область действия

В области действия

Вне области действия

Как подать отчет

Обнаружьте

Задокументируйте

Отправьте

Получите вознаграждение

Чего мы ожидаем

Готовы отправить отчет?