⚖️ Черновик. Перед публикацией проверяется юристом. Это не окончательный документ.
BugHunt — площадка bug bounty / VDP: компании открывают программы со scope, а исследователи ищут уязвимости и получают награды. Используя платформу, вы принимаете эти условия.
1. Участники
- Компания (владелец) — открывает программу, подтверждает владение активом, определяет scope, правила и награды, принимает решения по отчётам.
- Исследователь — ищет уязвимости строго в рамках программы и правил.
- Оператор / BugHunt — модерирует заявки, проверяет владение, помогает с триажем. Платформа — посредник и не является стороной ваших внутренних отношений.
2. Что можно тестировать
- Только программы со статусом verified (владение подтверждено) и активные.
- Только активы и действия, входящие в scope конкретной программы.
- Всё, что не в scope, — тестировать запрещено.
3. Запрещено
- DoS / нагрузочное тестирование, намеренное снижение доступности сервиса.
- Уничтожение, изменение или порча данных.
- Доступ к аккаунтам, персональным данным или средствам других пользователей; при случайном доступе — немедленно остановиться, не сохранять и не раскрывать данные.
- Социальная инженерия сотрудников/клиентов, фишинг, физический доступ.
- Атаки на инфраструктуру третьих лиц (хостинг, платёжные системы, CDN и т.п.).
- Автоматические сканеры, создающие заметную нагрузку, без разрешения владельца.
- Публичное раскрытие уязвимости до исправления и согласия владельца.
- Вымогательство, использование уязвимости в своих целях, передача её третьим лицам.
4. Отчёты
- Один отчёт = одна уязвимость, с описанием, шагами воспроизведения и минимальным PoC.
- Для подтверждения достаточно минимального доказательства — не выгружайте данные.
- Дубликаты (та же проблема, уже принятая ранее) награду не получают.
- Отчёт направляется приватно через платформу.
5. Триаж и статусы
Отчёт проходит статусы: новый → триаж → принят / дубликат / отклонён. Оценку серьёзности (severity) и итоговое решение принимает владелец программы при содействии оператора.
6. Награды
- Награды — на усмотрение компании, по серьёзности и качеству отчёта; их размер и сам факт не гарантированы платформой.
- Выплата — после подтверждения уязвимости (и, как правило, её исправления).
- Порядок и способ выплаты определяет компания; платформа может брать комиссию.
- Для выплат может потребоваться идентификация (KYC). Она нужна только для выплат и не является условием допуска к тесту.
7. Ответственность
- Платформа предоставляется «как есть», без гарантий бесперебойной работы.
- BugHunt не отвечает за действия компаний или исследователей и за ущерб от них; ответственность за нарушение правил несёт нарушитель.
- Нарушение правил лишает safe harbor и может повлечь блокировку и правовые последствия.
8. Изменения
Условия могут обновляться; актуальная версия публикуется на платформе с датой.