7943 policies in database
Link to program      
2014-11-13
2019-08-06
QIWI logo
Thank
Gift
HOF
Reward

Reward

50 $ 

QIWI

Qiwi Bug Bounty Program

Scope:

• qiwi kiosks
• Visa Qiwi Wallet mobile apps for iOS, Android and Windows Phone
.qiwi.ru
.qiwi.com
.qiwi.me
.sovest.ru
.sovest.com
.rapida.ru
.contact-sys.com
.rocketbank.ru ( only High and Critical severity )
• *.flocktory.com ( only High and Critical severity )

We do not accept/review reports with:

• Vulnerability scanners and other automated tools reports
• Reports based on product/protocol version without demonstration of real vulnerability presence
• Reports of missed protection mechanism / inconsistent with best practices (e.g. no CSRF token, framing/clickjacking protection) without demonstration of real security impact for user or system
• framing, clickjacking;
• Reports of insecure SSL/TLS ciphers (unless you have a working proof of concept -- and not just a report from a scanner);
• Self-XSS;
• Logout CSRF;
• Host header Injection;
• Reports regarding public availability of update1.qiwi.com and update- security1.qiwi.com
• SPF misconfiguration;
• Text-injection based on server error page;

How do I submit a bug report?

A bug report must give a detailed description of the discovered vulnerability:
• vulnerable hosts;
• the type of vulnerability;
• where exactly;
• security impact;
• steps impact;
• recommendations for fixing.

Reward payment and amounts.

We will pay you a reward if you are the first person to report a given vulnerability. The amounts mentioned in the table below are approximate and may vary from vulnerability influence.

We are interested the following vulnerabilities criteria:

• possible use of the vulnerability
• on what service vulnerability found;
• value of financial, reputational and other risks from vulnerabilities.

Payments will be made through HackerOne.

Number of bug reports by one person of the Program is unlimited.

Qiwi Responsible Disclosure Policy

By submitting a bug report you agree to comply with Qiwi Responsible Disclosure Policy, which forbids public or private disclosure of the details of any vulnerability found on Qiwi within 90 days after vulnerability is fixed and only reciprocal agreement of the parties.

Qiwi employees, the employees in any of Qiwi companies group can't participate in the Qiwi Bug Bounty Program.


Программа поиска уязвимостей QIWI

Объекты для поиска уязвимостей:

• платежные терминалы
• мобильные приложения Visa QIWI Wallet для iOS, Android и Windows Phone
.qiwi.ru
.qiwi.com
.qiwi.me
.sovest.ru
.sovest.com
.rapida.ru
.contact-sys.com
.rocketbank.ru ( только уязвимости уровня High и Critical )
• *.flocktory.com( только уязвимости уровня High и Critical )

Не рассматриваются и не принимаются как уязвимости:

• сообщения от сканеров безопасности и других средств автоматического сканирования;
• сообщения об уязвимостях, основанные на версиях продукта / протокола (без демонстрации реального существования уязвимости);
• сообщения об отсутствии механизма защиты или несоответствия рекомендациям (например отсутствие CSRF токена) без указания на реально существующие негативные последствия;
• framing, clickjacking;
• Self-XSS;
• Logout CSRF;
• Host header Injection;
• сообщения о публичном доступном сервере update1.qiwi.com и update- security1.qiwi.com
• SPF misconfiguration;
• Text-injection based on server error page;

Как отправить отчет?

В отчёте нужно дать подробное описание найденной уязвимости и указать:
• Уязвимый хост;
• Тип уязвимости;
• Где именно;
• Что позволяет;
• Как повторить;
• Ваши рекомендации по устранению.

Размеры наград за уязвимости:

Мы выплачиваем награду в том случае, если вы первый, кто сообщил нам о данной уязвимости. Приведенные ниже суммы - примерные, могут меняться в зависимости от критичности найденных уязвимостей.

Критериями оценки являются:

• возможность воспроизведения уязвимости;
• на каком сервисе найдена уязвимость;
• денежная оценка финансового, репутационного и иного риска, возникающего вследствие наличия уязвимости.

Выплаты производятся через систему проекта HackerOne.

Количество отчетов об уязвимостях направляемых одним участником Программы не ограничено.

Политика раскрытия Qiwi

Отправляя отчет, вы соглашаетесь соблюдать политику раскрытия Qiwi, которая запрещает публичное или частное раскрытие любой найденной уязвимости Qiwi в течение 90 дней после закрытия уязвимости и только по взаимному соглашению сторон.

Работники компании Qiwi, а также работники группы компаний Qiwi, не могут участвовать в Программе поиска уязвимостей Qiwi.

In Scope

Scope Type Scope Name
android_application

ru.sovest

android_application

ru.rocketbank.r2d2

android_application

ru.qiwi.qiwistock.release

android_application

ru.mw

android_application

com.qiwi.cashier.ru

ios_application

ru.qiwi.investor

ios_application

ru.qiwi.QIWI

ios_application

com.qiwi.sovest

ios_application

com.rocketbank.app

web_application

*.rocketbank.ru

web_application

*.flocktory.com

web_application

*.contact-sys.com

web_application

*.rapida.ru

web_application

*.sovest.ru

web_application

*.qiwi.me

web_application

*.qiwi.com

web_application

https://github.com/qiwi


This program crawled on the 2014-11-13 is sorted as bounty.

FireBounty © 2015-2020

Legal notices