プログラムスコープ

次の製品には、これまで知られていなかったセキュリティとプライバシーの問題が含まれています。

  • Bright Dataウェブサイト - https://brightdata.com
  • Bright DataパートナーSDK(最新バージョン)
顧客またはSDKユーザーデータの機密性または整合性に影響を与える設計または実装の問題は、プログラムの範囲内にある可能性があります。
一般的な例は次のとおりです。
  • クロスサイトスクリプティング
  • クロスサイトリクエストフォージェリ-CSRF / XSRF
  • 認証または承認の欠陥
  • リモートコード実行-サーバー
  • リモートコード実行-SDK
  • インストールされたSDKを介した社内Webページへのアクセス
Qualifying vulnerabilities
  • DoS攻撃を行わないでください。
  • 大量のトラフィックを自動的に生成するテストツールは使用しないでください。これにより、すべてのバグバウンティから自動的に失格になります。
  • 実際の顧客アカウントをハッキングしようとしないでください。顧客のプライバシーとセキュリティを維持することが重要です。自分のアカウントを使用してください。
  • マイナーなUI / UXのバグ-改善できる点についてはいつでも喜んでお聞きしますが、脆弱性ではないバグに対する報酬はありません
  • 以前に報告された問題-問題を明確に示す最初のレポートが報酬を得る
Out of Scope
重要事項 調査中にプライバシー侵害、データの破壊、サービスの中断または劣化を回避するために誠意を持って努力しないと、すべてのバグ報奨金から自動的に失格になります。

報酬

まで$300
  • Web:クロスサイトスクリプティング
  • Web:CSRFクリックジャッキング
  • 本番サーバーまたはクライアントソフトウェアでのセキュリティ関連の設定ミス
  • ウェブ上で誤用されたBrightDataアカウントについて報告することにより、ネットワークをより安全に保つのに役立ちます
まで$1000
  • SDKユーザーでのリモートコード実行
  • 本番サーバーからのデータ抽出
  • 個人を特定できる情報を公開するアクセス制御の問題
  • 別の顧客のアカウントの表示/制御を可能にするアクセス制御の問題
まで$2000
  • 本番サーバーでのリモートコード実行
  • 重要な情報を含む本番サーバーでの重要な認証バイパス
2か月後に請求されない報酬はキャンセルされます。
最終的な報酬は、問題を調査するチームの裁量で常に選択されます。異常に深刻なセキュリティ問題に対してより高い報酬を支払うこと、発生する可能性が非常に低い脆弱性に対してより低い報酬を支払うこと、単一のレポートが実際には複数のバグで構成されていること、または複数のレポートが実際には同じ問題であると判断する場合があります。

バグの報告

ネットワークデータ、使用例、仕様、ビデオなどの追加情報はすべて大歓迎です。レポートは英語で提出する必要があります。

  • 概要:テクニカルに関する説明
  • 概念実証(POC):脆弱性を再現する方法の詳細な手順
  • 影響:実際のシナリオで攻撃を実行する方法の説明
  • 推奨される修正:この脆弱性に対処する方法
  • Allowed file extensions as attachment: .jpg, .png, .gif, .txt, .csv, .wav, .mp4, .webm, .flv, .ogg, .wmv or link to the uploaded file in cloud storage

報奨金の支払い

報奨金の支払いには、次の制限があります。

  • 未成年者はプログラムに参加できます。ただし、児童オンラインプライバシー保護法により、13歳未満の子供から個人情報を収集する機能が制限されているため、12歳以下の場合は、親または法定後見人を通じて報奨金を請求する必要があります。
  • すべての支払いは米ドル(USD)で行われ、現地の法律、規制、および倫理規則に準拠します。あなたは、あなたの国の法律によって決定されるように、あなたが受け取る賞金の税の結果に対して責任があります。
  • この報奨金プログラムへの参加資格に影響を与える可能性のある雇用主の方針を遵守することは、あなたの唯一の責任です。