Banner object (1)

Hack and Take the Cash !

790 bounties in database
  Back Link to program      
RBKmoney logo
Hall of Fame

In Scope

Scope Type Scope Name

Out of Scope

Scope Type Scope Name
web_application *


RBKmoney Vulnerability Disclosure Program policy

If you found a security vulnerability at any of RBKmoney services, let us know. We will review all legitimate reports and do our best to quickly fix the issue. Before reporting vulnerability, check out the materials on this page including information disclosure policy and vulnerabilities that should not be reported.

Program scope and terms

The Program's scope involves the following RBKmoney domains (сheck out the exceptions):


If you are unsure whether a service is eligible for Program or not, feel free to ask us.


  • Use your own test accounts for vulnerability research. Do not interact with other accounts without their owner permission.

  • Avoid breach of data confidentiality.

  • Do not use discovered vulnerabilities for your own benefit. This includes demonstrating additional risks, attempting to disclose confidential data or finding other problems.

  • Do not use any vulnerability testing tools that automatically generate very significant volumes of traffic.

  • Do not perform any attack that could harm the reliability / integrity of our services or data (denial-of-service attacks, etc.).

  • Do not try sneaking into RBKmoney offices and data centers.

  • Do not perform spamming and social engineering attacks against our clients and employees and do not carry out other similarly questionable things.

Qualifying vulnerabilities

Any design or implementation vulnerability that substantially affects the confidentiality or integrity of data is likely to be in scope for the Program. Common examples include:

  • server-side code execution vulnerabilities
  • authentication or authorization vulnerabilities
  • business logic vulnerabilities
  • cross-site request forgery
  • cross-site scripting

Non-qualifying vulnerabilities

Scope of the Program is limited to technical vulnerabilities in our services and web applications.

We do not accept and review reports generated by automated vulnerability

scanners and reports of:

  • CSRF for non-significant actions (logout, etc.)
  • Self-XSS without demonstration of real security impact for users or system
  • framing and clickjacking vulnerabilities without a documented series of clicks that produce a real security impact
  • lack of security mechanism / inconsistency with best practices without demonstration of real security impact
  • not enforced SSL/TLS, use of insecure SSL/TLS ciphers
  • attacks which require full access to passwords, tokens, browser profile or local system
  • non-sensitive information disclosure (such as product or protocol version)
  • bugs that don’t affect the latest version of modern browsers and bugs related to browser extensions
  • vulnerabilities that only affect users with specific browsers
  • attacks requiring exceedingly unlikely user interaction
  • denial-of-service attacks or vulnerabilities related to rate limiting
  • timing attacks, that prove the existence of a user account, etc.
  • insecure cookie settings for non-sensitive cookies
  • bugs in content / services that are not owned or operated by RBKmoney (include third party services operating on our subdomains)
  • vulnerabilities that RBKmoney determines to be an accepted risk
  • scripting or other automation, brute forcing of intended functionality and parameters (include invoice, url-shortener payment link brute forcing, etc.)
  • phishing related issues (like text injection, available similar domains, etc.)
  • weak password policy

Vulnerability report requirements

By submitting a bug report you agree to comply with RBKmoney information disclosure policy.

A bug report must contain a detailed description of the discovered vulnerability:

  • vulnerable hosts and components
  • discovered vulnerability and security impact
  • reproduction steps
  • attack scenario
  • recommendations for remediation

Reproduction steps describes the exploitation process required, step-by-step, in the proper order.

Attack scenario describes details about how an attacker would use the bug you are submitting, any necessary conditions for it to work, and what the attacker would gain through a successful attack.

Reports that clearly and concisely identify the affected component, present a well-developed attack scenario, and include clear reproduction steps, will get triaged much faster.

We accept reports in Russian and English.

Reward policy

Currently we not provide awards according to HackerOne Vulnerability Disclosure Program (VDP) rules.

Information disclosure policy

Vulnerability details should be disclosed only in accordance with HackerOne disclosure guidelines __and RBKmoney vulnerability disclosure program policy.

Public or private disclosure of the details of any vulnerability found on RBKmoney is allowed 90 days after vulnerability is fixed and only by mutual agreement of the parties.

Request for vulnerability disclosure should be filed via HackerOne report interface. No vulnerability disclosure, including partial is allowed before vulnerability is disclosed on HackerOne.


Any sensitive information accidently obtained during vulnerability research or demonstration should not be disclosed. This information includes (but not limited to) infrastructure and implementation details, internal documentation and interfaces, source code, user’s and employee’s data.
Intentional access to this information is strictly prohibited.

Политика программы раскрытия уязвимостей RBKmoney

Если вы нашли уязвимости безопасности в сервисах RBKmoney, сообщите нам об этом. Мы рассматриваем все легитимные отчеты и делаем все возможное, чтобы максимально быстро устранить уязвимость. Прежде чем сообщать об уязвимости, ознакомьтесь с материалами на этой странице, включая политику раскрытия информации и уязвимости, о которых не следует сообщать.

Условия и область действия Программы

В область действия Программы входят следующие домены RBKmoney (ознакомьтесь с исключениями):


Если вы обнаружите уязвимость, которая не касается перечисленных выше доменов, мы исследуем ее. Если вы не уверены в том, участвует сервис в Программе или нет, не стесняйтесь спрашивать нас.


  • Используйте свои собственные тестовые учетные записи для поиска уязвимостей. Не взаимодействуйте с другими учетными записями без разрешения их владельцев.

  • Избегайте нарушения конфиденциальности данных.

  • Не используйте обнаруженную уязвимость для своей собственной выгоды. Сюда входит демонстрация дополнительных рисков, попытка раскрыть конфиденциальные данные или найти другие уязвимости.

  • Не используйте инструменты тестирования уязвимостей, которые автоматически генерируют значительные объемы трафика.

  • Не выполняйте атаки, которые могут нанести вред надежности / целостности наших служб или данных (атаки типа «отказ в обслуживании» и другие).

  • Не пытайтесь проникнуть в офисы и центры обработки данных RBKmoney.

  • Не осуществляйте рассылку спама и атаки социальной инженерии на наших клиентов и сотрудников, а также не делайте другие сомнительные вещи.

Квалифицируемые уязвимости

Любая уязвимость дизайна или реализации, которая существенно влияет на конфиденциальность или целостность данных, вероятно, будет участвовать в Программе. Общие примеры включают:

  • удаленное исполнение кода на стороне сервера
  • уязвимости в реализации протоколов аутентификации или авторизации
  • уязвимости бизнес-логики
  • CSRF-уязвимости
  • XSS-уязвимости

Неквалифицируемые уязвимости

Область действия программы ограничена исключительно техническими уязвимостями в наших сервисах и веб-приложениях.

Мы не принимаем и не рассматриваем отчеты, сгенерированные

автоматическими сканерами уязвимостей, а также отчеты о:

  • CSRF-уязвимостях для некритичных действий (logout и другие)
  • уязвимостях типа Self-XSS без демонстрации реального воздействия на безопасность пользователей или систем
  • framing и clickjacking-уязвимостях без документированной серии кликов, подтверждающей существование уязвимости
  • отсутствии механизма безопасности / несоответствии лучшим практикам без демонстрации реального воздействия на безопасность пользователей или систем
  • отсутствии SSL/TLS, использовании небезопасных шифров SSL/TLS
  • атаках, требующих полного доступа к паролям, токенам, профилю браузера или локальной системе
  • раскрытии некритичной информации (такой как версия продукта, протокола и т.д.)
  • ошибках, которые не затрагивают последние версии современных браузеров и ошибках, связанных с расширениями браузеров
  • уязвимостях, которые затрагивают только пользователей с определенными браузерами
  • атаках, требующих чрезвычайно маловероятного пользовательского взаимодействия
  • атаках типа «отказ в обслуживании» или уязвимостях, связанных с ограничением частоты запросов
  • временных атаках, которые доказывают существование учетной записи пользователя и т.п.
  • небезопасных настройках cookie для некритичных cookie
  • ошибках в содержании / сервисах, которые не принадлежат или не управляются RBKmoney (сюда входят сторонние службы, работающие на субдоменах)
  • уязвимостях, которые RBKmoney определяет как уязвимости с приемлемым уровнем риска
  • скриптинге или другой автоматизации, переборе предполагаемой функциональности и параметров (например, идентификатора счета, платежных ссылок в сервисе
  • вопросах, связанных с фишингом (например, инъекция текста, доступные похожие домены, и т.д.)
  • слабой парольной политике

Требования к отчетам об уязвимостях

Предоставляя отчет об уязвимостях, вы соглашаетесь соблюдать политику раскрытия информации RBKmoney.

Отчет должен содержать подробное описание обнаруженной уязвимости:

  • уязвимые узлы и компоненты
  • обнаруженная уязвимость и ее влияние на безопасность
  • этапы воспроизведения
  • сценарий атаки
  • рекомендации по устранению

Этапы воспроизведения описывают процесс эксплуатации уязвимости, шаг за шагом, в правильном порядке.

В сценарии атаки описывается информация о том, как злоумышленник может использовать обнаруженную вами уязвимость, необходимые условия для ее эксплуатации и то, что атакующий может получить в случае успешной атаки.

Отчеты, которые четко и лаконично идентифицируют затронутый компонент, описывают хорошо разработанный сценарий атаки и включают четкие этапы воспроизведения, рассматриваются намного быстрее.

Мы предпочитаем получать отчеты на русском или английском языке.

Политика вознаграждения

В настоящий момент мы не осуществляем выплату вознаграждения за найденные уязвимости в соответствии с правилами HackerOne Vulnerability disclosure program (VDP).

Политика раскрытия информации

Информация об уязвимостях может раскрываться только в соответствии с HackerOne disclosure guidelines __и политикой настоящей Программы.

Публичное или частное раскрытие сведений о любой уязвимости, обнаруженной в RBKmoney, разрешено через 90 дней после устранения уязвимости и только по взаимному согласию сторон.

Запрос на раскрытие информации об уязвимости должен быть подан через интерфейс HackerOne. Раскрытие информации об уязвимости, в том числе частичное, до раскрытия уязвимости в HackerOne не разрешается.


Любая конфиденциальная информация, случайно полученная в ходе поиска уязвимостей или демонстрации, не должна раскрываться. Эта информация включает (но не ограничивается) сведения об инфраструктуре, интерфейсах и деталях реализации, внутреннюю документацию, исходный код, данные пользователей и сотрудников.
Преднамеренный доступ к этой информации строго запрещен.

FireBounty © 2015-2019

Legal notices