Проверь Badoo на прочность! Месяц поиска уязвимостей

^[1] Компания Badoo, вслед за своими коллегами ― крупнейшими представителями IT-индустрии, такими как Google, Facebook и Яндекс, начинает платить за найденные уязвимости. Мы объявляем конкурс «Проверь Badoo на прочность!» ^[2], который стартует 19 марта и продлится ровно месяц.

Участвовать в конкурсе могут все желающие, кроме сотрудников Badoo. Каждый участник может отправить любое количество заявок.
Участники обязуются сохранять найденные уязвимости в тайне до тех пор, пока Badoo не сообщит об их исправлении в таблице заявок, но не дольше чем до 31 мая 2013 года.
Мы платим за все найденные новые уязвимости.
Уязвимости будут ранжированы от 5-й (500 фунтов стерлингов) до 1-й категории (50 фунтов стерлингов) в зависимости от их критичности. Категорию критичности определяет жюри конкурса.

К тому же у нас есть специальный приз! По итогам конкурса 3 самых активных участника получат по 1000 фунтов. Если вы нашли что-то очень серьезное, то мы можем выдать супер-премию выше 500 фунтов.

Где искать уязвимости:

badoo.com, eu1.badoo.com, us1.badoo.com и corp.badoo.com.
В конкурсе не участвуют мобильные версии сайта и приложения для социальных сетей.
^[3]

Призы и категории

5 категория — 500 фунтов стерлингов;
4 категория — 300 фунтов;
3 категория — 150 фунтов;
2 категория — 100 фунтов;
1 категория — 50 фунтов

Мы не хотим привязывать наши категории к традиционным системам оценки уязвимости. Чем больший ущерб может причинить найденная уязвимость, тем она для нас ценнее и тем более высокую категорию мы ей присвоим.

Как мы присуждаем категории

Чтобы было проще, мы хотим сориентировать вас и рассказать, как будут присваиваться категории.

• По нашему опыту, большинство уязвимостей, которые находят извне, относятся к категории HTML- или XSS-инъекций. Если найденной уязвимостью вообще нельзя причинить какой-то ущерб (например, можно только изменить вывод страницы), то она получит самую низкую 1-ю категорию.
• Более опасны SQL-инъекции. Допустим, вы нашли уязвимость которая «ломает» SQL-запрос, но единственным результатом является лишь неверный показ контента на сайте. Скорее всего, такая уязвимость получит лишь 2-ю категорию.
  Однако, если при помощи SQL-уязвимости злоумышленник может получить доступ к каким-то данным одного или нескольких пользователей, эта уязвимость может получить даже 5-ю категорию.
  Если с помощью уязвимости можно обновить данные в профиле пользователя, то в зависимости от того, насколько эти данные критичны, мы можем присвоить более высокие категории, вплоть до 5-й.
• Также опасны CSRF-уязвимости, но категория будет тем выше, чем больше может оказаться причиненный ущерб.

И не забывайте, что Badoo может выдать супер-премию выше 500 фунтов, если вы нашли что-то очень серьёзное.

Мы заботимся о том, чтобы

• участники получали быструю обратную связь;
• участники могли отслеживать свои заявки и видеть, какие уязвимости уже устранены;
• авторы заявок, прошедших одобрение, получали приз ДО того, как уязвимость будет устранена;
• выплата денег проходила быстро и без бюрократической волокиты.

Процесс выглядит так

• Участник отправляет заявку через форму с подробным описанием уязвимости, шагами по воспроизведению и скриншотами/файлами (по желанию). Заявка должна содержать достаточно информации для воспроизведения уязвимости.
• Он получает автоответ о том, что заявка получена.
• В течение 3 рабочих дней мы разбираем заявку и решаем, является ли найденное новой уязвимостью. По итогам автору приходит ответ на почту.
• Если мы принимаем заявку, то она появляется в таблице «Состояние заявок» со статусом «В процессе».
• Если ваша заявка получила статус «В процессе», то с вами в течение недели связывается наш представитель и договаривается о переводе денег. Это происходит независимо от того, устранена ли уязвимость или нет.
• Когда уязвимость устранена, в таблице появится описание уязвимости и статус “Решено”. До этого момента участнику не имеет права рассказывать об уязвимости.

Жюри конкурса

^[4]Евгений Соколов
Глава разработки Badoo Development

В Badoo пришел в 2012 году. До этого работал в Google Moscow на должности руководителя команды инженеров в Москве. В 2010 году возглавил Google's Moscow Engineering Centre.
До работы в Google разрабатывал финансовые системы и основал несколько небольших компаний. Имеет степень Ph.D. университета Stony Brook.

^[5]Алексей Рыбак
Заместитель главы разработки Badoo Development

Разработкой веб-проектов занимается с 1999 года. Основное направление работы в последние годы — массовые социальные сервисы, фото- и видео-хостинг, знакомства. Принимал участие в разработке проектов badoo.com — 172 000 000 пользователей, mamba.ru, ДИВ ВГТРК, Мемонет.
В 1999-м году с отличием окончил физический ф-т МГУ.

^[6]Павел Довбуш
Руководитель отдела клиентской разработки Badoo Development

Занимается непосредственно разработкой на языке JavaScript в качестве главного разработчика.
Специализируется в первую очередь на архитектуре и оптимизации крупных веб-приложений. В 2007 году окончил Уральский Государственный Технический Университе по специальности «Вычислительные машины, комплексы, системы и сети».