Details

Правила программы

Мы выплачиваем вознаграждения за сообщения об уязвимостях на веб-ресурсах ПриватБанка. Сообщите нам об обнаруженной уязвимости и получите вознаграждение до 1000USD в случае ее подтверждения.

В программе участвуют вэб-ресурсы в домене privatbank.ua, privat24.ua, ctbc.privatbank.ua

Что мы хотим видеть в отчете об уязвимости:

(при формировании отчета придерживайтесь этого списка, чтобы вознаграждение было максимальным и поступило Вам быстрее)

ресурс на котором найдена уязвимость;
тип уязвимости;
вектор атаки;
риски от возможной реализации уязвимости;
шаги воспроизведения;
возможные пути исправления бага;
скрин-шоты / видео экрана подтверждающие наличие уязвимости и демонстрирующие шаги воспроизведения

Не принимаем в качестве уязвимостей:

Сообщения от сканеров безопасности и других автоматических систем.
Сообщения об уязвимости, основанные на версиях ПО/протокола, без указания реального применения.
Сообщения об отсутствии механизма защиты или несоответствия рекомендациям (например отсутствие CSRF токена) без указания на реально существующие негативные последствия;
framing, clickjacking;
Logout CSRF.
Социальная инженерия.
Сообщения об Open Redirect
selfxss

Условия и правила сотрудничества:

Любые тесты на проникновение, тестирование уязвимостей, реализация багов и тд. Должны проводиться исключительно на аккаунтах и счетах самих «взломщиков» либо их родственников/друзей/знакомых с их личного разрешения.
Проведение какого-либо рода тестирования уязвимости (которая может повлиять на работу комплексов банка, фин. операции и тд.) должно проходить исключительно с предупреждением банка по соответствующему каналу (канал поиска ИТ уязвимостей «Слабое место») не менее чем за 3 дня до проведения теста.
Любое тестирование уязвимости без предупреждения банка может быть расценено как попытка мошенничества с принятием соответствующих мер по его пресечению.
Сумма премирования за подтвержденную уязвимость зависит от критичности уязвимости, уязвимого ресурса, а также системности уязвимости.
Лимит в 1000USD. носит условный характер. В случае выявления системной уязвимости с высокими рисками, сумма вознаграждения может составить более 1000USD в каждом отдельном случае.
Любое распространение информации о найденных уязвимостях возможно только по согласованию с банком. В случае нарушения данного требования, банк оставляет за собой право на отказ в выплате вознаграждения.
Распространение информации об уязвимостях высокого и наивысшего уровня рисковости запрещается. В случае распространения информации касательно подобных уязвимостей до момента выплаты премии по сигналу – премия выплачиваться не будет. В случае подобных действий, после совершения выплаты премии, дальнейшее сотрудничество с взломщиком будет прекращено!
На любое Ваше обращение будет дан ответ в течение 7 рабочих дней.
Мы за честное сотрудничество! – Попытка пиарить себя за наш счет приведет к разрыву сотрудничества

Правила программы

В программе участвуют вэб-ресурсы в домене privatbank.ua, privat24.ua, ctbc.privatbank.ua

Что мы хотим видеть в отчете об уязвимости:

ресурс на котором найдена уязвимость;

тип уязвимости;

вектор атаки;

риски от возможной реализации уязвимости;

шаги воспроизведения;

возможные пути исправления бага;

скрин-шоты / видео экрана подтверждающие наличие уязвимости и демонстрирующие шаги воспроизведения

Не принимаем в качестве уязвимостей:

Сообщения от сканеров безопасности и других автоматических систем.

Сообщения об уязвимости, основанные на версиях ПО/протокола, без указания реального применения.

Сообщения об отсутствии механизма защиты или несоответствия рекомендациям (например отсутствие CSRF токена) без указания на реально существующие негативные последствия;

framing, clickjacking;

Logout CSRF.

Социальная инженерия.

Сообщения об Open Redirect

selfxss

Условия и правила сотрудничества:

Любые тесты на проникновение, тестирование уязвимостей, реализация багов и тд. Должны проводиться исключительно на аккаунтах и счетах самих «взломщиков» либо их родственников/друзей/знакомых с их личного разрешения.

Проведение какого-либо рода тестирования уязвимости (которая может повлиять на работу комплексов банка, фин. операции и тд.) должно проходить исключительно с предупреждением банка по соответствующему каналу (канал поиска ИТ уязвимостей «Слабое место») не менее чем за 3 дня до проведения теста.

Любое тестирование уязвимости без предупреждения банка может быть расценено как попытка мошенничества с принятием соответствующих мер по его пресечению.

Сумма премирования за подтвержденную уязвимость зависит от критичности уязвимости, уязвимого ресурса, а также системности уязвимости.

Лимит в 1000USD. носит условный характер. В случае выявления системной уязвимости с высокими рисками, сумма вознаграждения может составить более 1000USD в каждом отдельном случае.

Любое распространение информации о найденных уязвимостях возможно только по согласованию с банком. В случае нарушения данного требования, банк оставляет за собой право на отказ в выплате вознаграждения.

Распространение информации об уязвимостях высокого и наивысшего уровня рисковости запрещается. В случае распространения информации касательно подобных уязвимостей до момента выплаты премии по сигналу – премия выплачиваться не будет. В случае подобных действий, после совершения выплаты премии, дальнейшее сотрудничество с взломщиком будет прекращено!

На любое Ваше обращение будет дан ответ в течение 7 рабочих дней.

Мы за честное сотрудничество! – Попытка пиарить себя за наш счет приведет к разрыву сотрудничества

PrivatBank

PrivatBank

Details

Правила программы

Что мы хотим видеть в отчете об уязвимости:

Не принимаем в качестве уязвимостей:

Условия и правила сотрудничества:

Правила программы

Что мы хотим видеть в отчете об уязвимости:

Не принимаем в качестве уязвимостей:

Условия и правила сотрудничества: