Программа поиска уязвимостей в системах компании Wildberries

Компания Wildberries предлагает вознаграждение лицам, нашедшим уязвимости в системах компании:

Общие положения

  • К участию допущены лица старше 18 лет, не являющиеся сотрудниками Wildberries или компаний, оказывающих ИТ-услуги Wildberries.

  • Вознаграждение осуществляется первому нашедшему новую уязвимость в рамках последующего заключения договора в течение 30 дней после отправки участником информации об уязвимости.

  • В течение 60 дней с момента отправки сведений об уязвимости, участник не в праве распространять информацию публично или любым третьим лицам.

  • В рамках данной программы не допускается подбор паролей к учетным записям, проведение различных DoS\DDoS атак и иных деструктивных действий, направленных на инфраструктуру компании.

Адрес для отправки информации об уязвимости

Информация о найденных уязвимостях должна быть направлена на почтовый ящик bug@wildberries.ru c указанием электронного почтового адреса, по которому можно будет связаться с конкурсантом. Приветствуется максимально подробное описание уязвимости с указанием способа повторения/эксплуатации.

Актуальные уязвимости

Уязвимости — технические недостатки, с помощью которых можно нарушить целостность или конфиденциальность пользовательской информации, а также изменить права доступа к ней. В качестве классификации уязвимостей для веб-сервисов используется OWASP Top-10 версии 2010 года, для мобильных приложений — OWASP Mobile Top-10.

Вознаграждения

Далее приведен приблизительный диапазон вознаграждений. Компания оставляет право за собой увеличивать или уменьшать вознаграждение в каждом отдельном случае.

  • 50 000 - 150 000 ₽

    Критичные — sql-инъекции, позволяющие модифицировать данные, уязвимости в протоколах аутентификации/авторизации, позволяющие получать доступ к персональным данным и т.д.

  • 15 000 - 50 000 ₽

    Важные — не позволяют модифицировать важные данные, но в целом можно эксплуатировать.

  • 1 000 - 15 000 ₽

    Минорные — тяжело эксплуатировать.