Program Rules

We are currently offering rewards for vulnerability reports regarding Odnoklassniki web applications:

• main portal (ok.ru);

• mobile portal (m.ok.ru);

• external widgets (connect.ok.ru);

• API (api.ok.ru).

If you have discovered a vulnerability in any other of our services, we would also appreciate your report, but the matter of a cash reward for such reports is reviewed individually and applies to critical vulnerabilities only.

Exceptions to the Program

At the moment we are not reviewing SSL and open redirect bugs unless they pose additional risks for our users.

Report Requirements

Please include a problem reproduction scenario or a proof of concept into your report. Automatically generated reports with no reproduction details will not be reviewed.

Payment of Rewards

If the reporter has exploited the vulnerability by targeting real users, or if any details about the vulnerability were disclosed by the reporter, they may be denied the reward.

Правила программы

На данный момент мы выплачиваем вознаграждения за сообщения об уязвимостях веб-приложений Одноклассников:

• основной версии портала (ok.ru);

• мобильной версии портала (m.ok.ru);

• внешних виджетов (connect.ok.ru);

• API (api.ok.ru).

Если вы нашли уязвимость в других наших сервисах, мы также будем рады получить ваше сообщение и поблагодарить вас за это. Но решение о выплате денежного вознаграждения в таком случае будет приниматься в индивидуальном порядке и только для критичных проблем.

Исключения из программы

На данный момент мы не рассматриваем баги про SSL и сообщения об открытых редиректах, если в последних нет дополнительных факторов риска для пользователей.

Пожелания к отчетам

В сообщение об уязвимости, пожалуйста, включайте сценарий воспроизведения или proof of concept. Автоматически сгенерированные отчеты без деталей воспроизведения мы рассматривать не будем.

Выплата вознаграждений

Вознаграждение выплачивается первому исследователю, сообщившему о неизвестной ранее проблеме.

В выплате вознаграждения будет отказано в случае эксплуатации уязвимости на реальных пользователях или разглашении любых деталей без предварительного согласования с нами.