Соцсеть «Одноклассники» запустила программу выплат за найденные уязвимости на сайте и во внешних виджетах сервиса. Об этом представители компании сообщили в официальном блоге.
Компания будет платить за критические ошибки в основной и мобильной версии сайта ok.ru, внешних виджетах (connect.ok.ru) и API сервиса (api.ok.ru). Минимальный размер выплат составляет $100, максимальный не ограничен — итоговая награда зависит от важности уязвимости.
Представители «Одноклассников» сообщили AD, что программа также распространяется и на ошибки в мобильных приложениях сервиса. Отчёты принимаются через платформу HackerOne.
Компания требует от исследователей предоставить не только отчёт, но и сценарий воспроизведения проблемы. «На данный момент мы не рассматриваем баги про SSL и сообщения об открытых редиректах, если в последних нет дополнительных факторов риска для пользователей», — также указано в описании программы.
Вознагражение может получить только первый исследователь, который не будет эксплуатировать уязвимость на реальных пользователях и не станет разглашать детали проблемы без консультации с «Одноклассниками».
29 мая 2015 году аналогичную программу по обнаружению уязвимостей запустила соцсеть «ВКонтакте», которая также входит в холдинг Mail.Ru Group. В 2013 году «Одноклассники» уже запускала программу выплат за ошибки в соцсети — тогда максимальная выплата составляла $500.
About the author
