Компания Badoo, вслед за своими коллегами ― крупнейшими представителями IT-индустрии, такими как Google, Facebook и Яндекс, начинает платить за найденные уязвимости. Мы объявляем конкурс «Проверь Badoo на прочность!», который стартует 19 марта и продлится ровно месяц.
Участвовать в конкурсе могут все желающие, кроме сотрудников Badoo. Каждый участник может отправить любое количество заявок.
Участники обязуются сохранять найденные уязвимости в тайне до тех пор, пока Badoo не сообщит об их исправлении в таблице заявок, но не дольше чем до 31 мая 2013 года.
Мы платим за все найденные новые уязвимости.
Уязвимости будут ранжированы от 5-й (500 фунтов стерлингов) до 1-й категории (50 фунтов стерлингов) в зависимости от их критичности. Категорию критичности определяет жюри конкурса.
К тому же у нас есть специальный приз! По итогам конкурса 3 самых активных участника получат по 1000 фунтов. Если вы нашли что-то очень серьезное, то мы можем выдать супер-премию выше 500 фунтов.
Где искать уязвимости:
badoo.com, eu1.badoo.com, us1.badoo.com и corp.badoo.com.
В конкурсе не участвуют мобильные версии сайта и приложения для социальных сетей.
Призы и категории
5 категория — 500 фунтов стерлингов;
4 категория — 300 фунтов;
3 категория — 150 фунтов;
2 категория — 100 фунтов;
1 категория — 50 фунтов
Мы не хотим привязывать наши категории к традиционным системам оценки уязвимости. Чем больший ущерб может причинить найденная уязвимость, тем она для нас ценнее и тем более высокую категорию мы ей присвоим.
Как мы присуждаем категории
Чтобы было проще, мы хотим сориентировать вас и рассказать, как будут присваиваться категории.
- По нашему опыту, большинство уязвимостей, которые находят извне, относятся к категории HTML- или XSS-инъекций. Если найденной уязвимостью вообще нельзя причинить какой-то ущерб (например, можно только изменить вывод страницы), то она получит самую низкую 1-ю категорию.
- Более опасны SQL-инъекции. Допустим, вы нашли уязвимость которая «ломает» SQL-запрос, но единственным результатом является лишь неверный показ контента на сайте. Скорее всего, такая уязвимость получит лишь 2-ю категорию.
Однако, если при помощи SQL-уязвимости злоумышленник может получить доступ к каким-то данным одного или нескольких пользователей, эта уязвимость может получить даже 5-ю категорию.
Если с помощью уязвимости можно обновить данные в профиле пользователя, то в зависимости от того, насколько эти данные критичны, мы можем присвоить более высокие категории, вплоть до 5-й. - Также опасны CSRF-уязвимости, но категория будет тем выше, чем больше может оказаться причиненный ущерб.
И не забывайте, что Badoo может выдать супер-премию выше 500 фунтов, если вы нашли что-то очень серьёзное.
Мы заботимся о том, чтобы
- участники получали быструю обратную связь;
- участники могли отслеживать свои заявки и видеть, какие уязвимости уже устранены;
- авторы заявок, прошедших одобрение, получали приз ДО того, как уязвимость будет устранена;
- выплата денег проходила быстро и без бюрократической волокиты.
Процесс выглядит так
- Участник отправляет заявку через форму с подробным описанием уязвимости, шагами по воспроизведению и скриншотами/файлами (по желанию). Заявка должна содержать достаточно информации для воспроизведения уязвимости.
- Он получает автоответ о том, что заявка получена.
- В течение 3 рабочих дней мы разбираем заявку и решаем, является ли найденное новой уязвимостью. По итогам автору приходит ответ на почту.
- Если мы принимаем заявку, то она появляется в таблице «Состояние заявок» со статусом «В процессе».
- Если ваша заявка получила статус «В процессе», то с вами в течение недели связывается наш представитель и договаривается о переводе денег. Это происходит независимо от того, устранена ли уязвимость или нет.
- Когда уязвимость устранена, в таблице появится описание уязвимости и статус “Решено”. До этого момента участнику не имеет права рассказывать об уязвимости.
Включиться в игру>>>>>>
Жюри конкурса
Евгений Соколов
Глава разработки Badoo Development
В Badoo пришел в 2012 году. До этого работал в Google Moscow на должности руководителя команды инженеров в Москве. В 2010 году возглавил Google's Moscow Engineering Centre.
До работы в Google разрабатывал финансовые системы и основал несколько небольших компаний. Имеет степень Ph.D. университета Stony Brook.
Алексей Рыбак
Заместитель главы разработки Badoo Development
Разработкой веб-проектов занимается с 1999 года. Основное направление работы в последние годы — массовые социальные сервисы, фото- и видео-хостинг, знакомства. Принимал участие в разработке проектов badoo.com — 172 000 000 пользователей, mamba.ru, ДИВ ВГТРК, Мемонет.
В 1999-м году с отличием окончил физический ф-т МГУ.
Павел Довбуш
Руководитель отдела клиентской разработки Badoo Development
Занимается непосредственно разработкой на языке JavaScript в качестве главного разработчика.
Специализируется в первую очередь на архитектуре и оптимизации крупных веб-приложений. В 2007 году окончил Уральский Государственный Технический Университе по специальности «Вычислительные машины, комплексы, системы и сети».