Mail.Ru Group объявила о старте кампании по выплате наград за обнаружение уязвимостей онлайн-сервисов: Почта, Облако, Календарь, Mail.Ru для бизнеса, Авторизационный центр Mail.Ru, а также в мобильных приложениях Mail.Ru для iOS и Android. Мероприятие носит ограниченный по времени характер и продлится с 21 апреля по 20 мая. Минимальная стоимость уязвимости оставит $150, максимальный размер награды ограничен лишь критичностью уязвимости. По результатам всего мероприятия будут выплачены дополнительные бонусы: за 1-е место - 5 тыс. долларов; за 2-е место - 3 тыс. долларов; за 3-е место - 1.5 тыс. долларов. Имена или псевдонимы победителей будут объявлены 21-го мая. В багрепорте нужно дать подробное описание найденной уязвимости и кратко, но понятно указать, какие шаги приводят к тому, чтобы с нею столкнуться, или привести рабочее подтверждение своей концепции. Также, очень желательно, чтобы исследователь мог объяснить, каким именно образом он нашёл ту или иную уязвимость. В первую очередь интересны уязвимости следующих видов: Cross-Site Scripting, SQL Injection, Remote Code Execution, Cross-Site Request Forgery, Directory Traversal, Information Disclosure, Content Spoofing, Clickjacking. Сообщения об уязвимостях рассматриваются аналитиками Mail.Ru Group по информационной безопасности. Рассматриваются сообщения в течение 15 дней (это максимальный срок). Выплаты производятся через систему проекта HackerOne. Также, с момента сообщения уязвимости должно пройти не менее 3 месяцев, прежде чем можно будет опубликовать её детали.
Источник