Bug Bounty

Pomozte nám, aby u nás byli zákazníci ještě více v bezpečí! Víc očí víc vidí - vyhlašujeme lov na chyby s programem Bug Bounty!

"Bounty hunting" znamená v překladu něco jako "honba za odměnou". A my jsme se rozhodli jeden takový hon, podobně jako kolegové v Deutsche Telekom v roce 2013, vyhlásit. Cílem jsou „bugy" – chyby a slabiny v našich webových portálech. I když se totiž o bezpečí našich služeb staráme, jak nejlépe dovedeme, jsme realisté. Je nám jasné, že i přes veškerou snahu, spolehlivé systémy i neustálou kontrolu se někde může objevit nějaká ta trhlinka. Přesně proto jsme se rozhodli poprosit o pomoc i vás. A samozřejmě to nechceme zadarmo.

V tomto programu se zaměříme výhradně na bezpečnost našich portálů www.t-mobile.cz a muj.t-mobile.cz. Hon na chyby Bug Bounty poběží tak dlouho, dokud bude potřeba a dokud nevyhlásíme konec lovecké sezóny. Honu na chybky se může zúčastnit kdokoliv, kromě současných i bývalých zaměstnanců všech společností skupiny Deutsche Telekom a jejich příbuzných.

Ještě před zahájením honu je ale dobré si říct něco o základních pravidlech.

Pravidla lovu

  • Odměna patří každému, kdo odhalí chybu, která není veřejně známá. Musí ale jít o první report (právo na odměnu má tedy jenom ten, kdo bug nahlásí jako první).
  • Každý účastník programu, který narazí na zranitelnost portálů, je vázán tzv. odpovědnou mlčenlivostí (viz níže).
  • Chyby ulovené za pomoci skenovacích nástrojů se nepočítají.
  • Odměna se nevyplácí ani za bugy založené na zastaralé (neopatchované) softwarové komponentě třetích stran (tedy ne T-Mobile nebo Deutsche Telekom).
  • Report musí obsahovat příklad (unikátní dotaz nebo PoC kód) a detailní popis chyby včetně typu webového prohlížeče a jeho nastavení.
  • Každý report prosím posílejte jako samostatný e-mail na adresu bugbounty(zavináč)t-mobile.cz.

Jaké chyby hledáme a jaké jsou odměny?

Výše odměny se liší případ od případu a bude posuzována individuálně (záleží na závažnosti chyby). Abyste si udělali představu, tady je stručný přehled:

  • SQL (exploitable) - odměna až 40 000 Kč.
  • Remote Code Execution - odměna až 40 000 Kč.
  • CSRF (authenticated) - odměna až 20 000 Kč.
  • LFI / RFI - odměna až 10 000 Kč.

A navíc bude každý úspěšný účastník zveřejněn na naší zdi slávy (Hall of Fame), samozřejmě pokud bude chtít.

Každý účastník je vázán "odpovědnou mlčenlivostí".
Co to znamená?

  • Účastník nesmí poskytnout jakékoliv informace o objeveném bugu třetí straně.
  • Nesmí také sbírat data, ke kterým se prostřednictvím bezpečnostní chyby dostal a která by mohla být považována za zákaznická, a předat je komukoliv dalšímu.
  • Účastník nám poskytne veškeré informace o bugu, abychom mohli chybu co nejdříve opravit.
  • Účastník vynaloží veškeré úsilí, aby při bezpečnostním testování neomezil dostupnost jakékoliv námi poskytované služby.

Pokud byste měli nějaké otázky, kontaktujte nás na adrese bugbounty(zavináč)t‑mobile.cz.

Všechno jasné? Lovu zdar!

Podrobná pravidla