Pomozte nám, aby u nás byli zákazníci ještě více v bezpečí! Víc očí víc vidí - vyhlašujeme lov na chyby s programem Bug Bounty!
"Bounty hunting" znamená v překladu něco jako "honba za odměnou". A my jsme se rozhodli jeden takový hon, podobně jako kolegové v Deutsche Telekom v roce 2013, vyhlásit. Cílem jsou „bugy" – chyby a slabiny v našich webových portálech. I když se totiž o bezpečí našich služeb staráme, jak nejlépe dovedeme, jsme realisté. Je nám jasné, že i přes veškerou snahu, spolehlivé systémy i neustálou kontrolu se někde může objevit nějaká ta trhlinka. Přesně proto jsme se rozhodli poprosit o pomoc i vás. A samozřejmě to nechceme zadarmo.
V tomto programu se zaměříme výhradně na bezpečnost našich portálů www.t-mobile.cz a muj.t-mobile.cz. Hon na chyby Bug Bounty poběží tak dlouho, dokud bude potřeba a dokud nevyhlásíme konec lovecké sezóny. Honu na chybky se může zúčastnit kdokoliv, kromě současných i bývalých zaměstnanců všech společností skupiny Deutsche Telekom a jejich příbuzných.
Ještě před zahájením honu je ale dobré si říct něco o základních pravidlech.
Pravidla lovu
- Odměna patří každému, kdo odhalí chybu, která není veřejně známá. Musí ale jít o první report (právo na odměnu má tedy jenom ten, kdo bug nahlásí jako první).
- Každý účastník programu, který narazí na zranitelnost portálů, je vázán tzv. odpovědnou mlčenlivostí (viz níže).
- Chyby ulovené za pomoci skenovacích nástrojů se nepočítají.
- Odměna se nevyplácí ani za bugy založené na zastaralé (neopatchované) softwarové komponentě třetích stran (tedy ne T-Mobile nebo Deutsche Telekom).
- Report musí obsahovat příklad (unikátní dotaz nebo PoC kód) a detailní popis chyby včetně typu webového prohlížeče a jeho nastavení.
- Každý report prosím posílejte jako samostatný e-mail na adresu bugbounty(zavináč)t-mobile.cz.
Jaké chyby hledáme a jaké jsou odměny?
Výše odměny se liší případ od případu a bude posuzována individuálně (záleží na závažnosti chyby). Abyste si udělali představu, tady je stručný přehled:
- SQL (exploitable) - odměna až 40 000 Kč.
- Remote Code Execution - odměna až 40 000 Kč.
- CSRF (authenticated) - odměna až 20 000 Kč.
- LFI / RFI - odměna až 10 000 Kč.
A navíc bude každý úspěšný účastník zveřejněn na naší zdi slávy (Hall of Fame), samozřejmě pokud bude chtít.
Každý účastník je vázán "odpovědnou mlčenlivostí".
Co to znamená?
- Účastník nesmí poskytnout jakékoliv informace o objeveném bugu třetí straně.
- Nesmí také sbírat data, ke kterým se prostřednictvím bezpečnostní chyby dostal a která by mohla být považována za zákaznická, a předat je komukoliv dalšímu.
- Účastník nám poskytne veškeré informace o bugu, abychom mohli chybu co nejdříve opravit.
- Účastník vynaloží veškeré úsilí, aby při bezpečnostním testování neomezil dostupnost jakékoliv námi poskytované služby.
Pokud byste měli nějaké otázky, kontaktujte nás na adrese bugbounty(zavináč)t‑mobile.cz.
Všechno jasné? Lovu zdar!