На вашем аккаунте установлена двухфакторная аутентификация. Для успешной авторизации введите код из приложения для генерации паролей.
Информация о Mailgroup
Чтобы купить виртуальные номера для Mailgroup, необходимо:
Связаться с технической поддержкой для рассмотрения и подтверждения (верификации) вашего аккаунта на покупку номеров через любой доступный для вас канал связи.
Не рекомендуем вам пополнять баланс раньше, чем будет рассмотрена ваша заявка. Заявка в некоторых случаях может рассматриваться до 7 дней.
Приобретать от 1000 номеров в месяц.
В других случаях купить номера для активации Mailgroup невозможно. Перейдя во вкладку "Аренда", можно приобрести номер без ограничений.
Информация о OLX
Возврат денежных средств за сервис OLX не предусмотрен, в том числе и по причине занятости аккаунта, так как это связано с перевыпуском SIM-карты сотовым оператором связи, на котором раньше был профиль.
Рекомендация по регистрации сервиса OLX от команды sms-activate:
Купите номер через интерфейс сайта или API.
Перед получением кода, проверьте занятость аккаунта (либо через форму восстановления пароля, либо напрямую, пробуя зайти в аккаунт, вбивая любой пароль). Убедитесь, что номер не занят, и только после этого запрашивайте код верификации.
Если при проверке (чекер-программой или вручную) оказывается, что личный кабинет занят, то отменяйте покупку. Денежные средства автоматически вернутся вам на баланс (успешной покупкой считается только та, которая получила СМС от сервиса).
Это безопасно: cookie хранятся только
на вашем устройстве. Если вы не против, нажмите «Принять все cookie» или продолжите просмотр сайта. Политика обработки персональных данных.
Вам нужно найти уязвимости в инфраструктуре,сервисах и приложениях, которые работаютс приватными данными. Территория охоты: домены, мобильные и десктопные приложения.
Добро пожаловать в программу Bug Bounty! Ваше участие помогает улучшать безопасность наших продуктов и сервисов. Пожалуйста, ознакомьтесь с ниже приведенными правилами, чтобы гарантировать эффективное и этичное сотрудничество
Регистрация и Верификация
Регистрация:
для участия в программе необходимо зарегистрироваться на сайте sms-activate.guru
В процессе регистрации укажите ваш Telegram аккаунт для упрощения коммуникации;
Верификация:
для получения выплат вы должны пройти процесс верификации. Подробные инструкции будут отправлены вам через Telegram после того, как ваш отчет будет одобрен
Подача отчетов
Ознакомление с Правилами:
перед подачей отчета ознакомьтесь с правилами участия и типами уязвимостей, принимаемых к рассмотрению;
Форма отчета:
используйте форму на странице sms-activate.guru/bugBountyForm
для отправки отчета. Ваш отчет должен содержать четкое описание уязвимости, шаги для ее воспроизведения, доказательства (скриншоты, видеозаписи) и рекомендации по устранению;
Дополнительные файлы:
если необходимо, прикрепите дополнительные файлы для подтверждения уязвимости;
Процесс рассмотрения отчетов
Ваш отчет будет тщательно изучен нашими аналитиками безопасности. Этот процесс может занять до трех месяцев. В течение этого времени отчет может получить один из следующих статусов: «на рассмотрении», «отсортирован», «отклонен модератором», «требуется больше информации» и другие.
Категории уязвимостей
В
вы найдете список типов уязвимостей, которые не подлежат вознаграждению. В
указаны критерии оценки критичности уязвимости.
Верификация и конфиденциальность
Все личные данные, предоставленные вами для верификации, будут использоваться исключительно в целях идентификации и не будут переданы третьим лицам без вашего согласия. Мы прилагаем все усилия для обеспечения конфиденциальности и безопасности ваших данных.
Выплаты
После успешной верификации и подтверждения уязвимости вам будет предложено вознаграждение. Размер вознаграждения определяется на основе критичности уязвимости и качества предоставленного отчета.
Этичные нормы
Мы ожидаем, что участники будут действовать ответственно и этично. Не допускается использование найденных уязвимостей для нанесения ущерба, получения несанкционированного доступа к данным или системам, а также распространения информации о уязвимости до ее устранения.
Заключение
Мы ценим ваш вклад в повышение безопасности наших продуктов и услуг. Ваше участие помогает создать более безопасное цифровое пространство для всех нас.
Успехов в поиске уязвимостей! Ваш вклад неоценим, и мы благодарны за вашу помощь в обеспечении безопасности наших систем.
Приложение А
Виды уязвимостей, которые не оплачиваются (уязвимости низкого уровня, которые не имеют критических последствий в случае их эксплуатации, в том числе):
IDOR
(отчеты по данному типу уязвимости принимаются только в случае высокого уровня критичности; уровень критичности определяется нашим специалистом при подтверждении наличия уязвимости);
Любые виды уязвимости XSS,
помимо Stored XSS (отчеты по уязвимости Stored XSS принимаются в зависимости от значимости веб-ресурса);
Clickjacking;
Insecure Redirect URI;
Directory Listing Enabled
(пароли, бекапы) и Sensitive data exposure
(в зависимости от раскрывающихся данных; отчеты по этой уязвимости принимаются, в случае обнаружения критичных данных);
Включенный debug mode,
в котором не раскрываются критические данные;
CSRF уязвимости,
найденные в функционале, который̆ не является критичным;
Раскрытие панели админа
(если багхантер находит панель админа, однако не способен произвести захват аккаунта или получать иную критическую информацию);
User Enumeration
без раскрытия критичных данных;
Security Misconfiguration,
в случае отсутствия доказательств реализации угрозы;
Отказ в обслуживании;
Спам;
Социальная инженерия,
направленная против сотрудников, подрядчиков или клиентов;
Любые физические попытки по получению доступа к собственности или центрам обработки данных
Владельца системы;
Отчет с помощью автоматизированных инструментов и сканирований;
Ошибки в стороннем программном обеспечении;
Отсутствие заголовков безопасности
которые не ведут напрямую к уязвимости;
Нарушение доверия SSL / TLS;
Уязвимости, влияющие только на пользователей устаревших или непатентованных браузеров и платформ;
Политики восстановления пароля и учетной записи,
такие как срок действия ссылки для сброса или сложность пароля;
Устаревшая запись DNS,
указывающая на систему, которая не принадлежит владельцу системы.
Содержание
Приложение Б
Виды уязвимостей по уровням критичности:
Уязвимость
Низкая
Средняя
Высокая
Path Traversal
10
40
70
Directory Listing Enabled
10
40
Insecure Redirect URI
5
10
Clickjacking
5
Brute Force
5
SQL Injection (пустая база, полезная база)
10
40
70
XML External Entity Injection
50
70
Local File Inclusion
50
Remote Code Execution
10
50
100
Authentication Bypass
50
90
Account Takeover
50
90
Insecure Direct Object References
10
Stored XSS
20-30
Reflected XSS
10-20
Server-Side Request
40-60
Cross-Site Request Forgery
10-20
Race Condition
10
90
Server-Side Template Injection
20
80
Path Traversal
Низкая
10
Средняя
40
Высокая
70
Directory Listing Enabled
Низкая
10
Средняя
40
Высокая
Insecure Redirect URI
Низкая
5
Средняя
10
Высокая
Clickjacking
Низкая
5
Средняя
Высокая
Brute Force
Низкая
5
Средняя
Высокая
SQL Injection (пустая база, полезная база)
Низкая
10
Средняя
40
Высокая
70
XML External Entity Injection
Низкая
Средняя
50
Высокая
70
Local File Inclusion
Низкая
Средняя
50
Высокая
Remote Code Execution
Низкая
10
Средняя
50
Высокая
100
Authentication Bypass
Низкая
Средняя
50
Высокая
90
Account Takeover
Низкая
Средняя
50
Высокая
90
Insecure Direct Object References
Низкая
10
Средняя
Высокая
Stored XSS
Низкая
20-30
Средняя
Высокая
Reflected XSS
Низкая
10-20
Средняя
Высокая
Server-Side Request
Низкая
Средняя
40-60
Высокая
Cross-Site Request Forgery
Низкая
10-20
Средняя
Высокая
Race Condition
Низкая
10
Средняя
Высокая
90
Server-Side Template Injection
Низкая
20
Средняя
Высокая
80
Баллы по уровням критичности уязвимостей присуждаются следующим образом:
За низкий уровень критичности – от 0 до 30 баллов;
За средний уровень критичности - от 31 до 60 баллов;
За высокий уровень критичности - от 61 до 100 баллов.
sms-activate.guru
hstock.org
ipkings.io
Вознаграждения
Размер вознаграждения зависит от критичности уязвимости, простоты ее эксплуатации и воздействию на данные пользователей. Решение об уровне критичности часто принимается совместно с разработчиками, и это может занимать какое-то время.
Уязвимость
Вознаграждение
Remote Code Execution (RCE)
110 000 руб. — 350 000 руб.
Local files access и другое (LFR, RFI, XXE)
35 000 руб. — 220 000 руб.
Инъекции
20 000 руб. — 220 000 руб.
Cross-Site Scripting (XSS), исключая Self-XSS
5 000 руб. - 30 000 руб.
SSRF, кроме слепых
25 000 руб. — 100 000 руб.
Слепая SSRF
5 000 руб. — 30 000 руб.
Утечки памяти / IDORs / Раскрытие информациис защищенными личными данными или конфиденциальной информацией пользователя
3000 руб. — 85 000 руб.
Другие подтвержденные уязвимости
Зависит от критичности
Участвуют все приложения SMS-Activate, которые имеют дело с пользовательскими данными. Наши приложения можно найти в Google Play
и App Store
по названию SMS-Activate
Приложения
Уязвимость
Вознаграждение
Remote Code Execution (RCE)
110 000 руб. — 350 000 руб.
Local files access и другое (LFR, RFI, XXE)
35 000 руб. — 220 000 руб.
Инъекции
20 000 руб. — 220 000 руб.
SSRF, кроме слепых
25 000 руб. — 100 000 руб.
Слепая SSRF
5 000 руб. — 30 000 руб.
Утечки памяти / IDORs / Раскрытие информациис защищенными личными данными или конфиденциальной информацией пользователя
В течение выбранного периода, у вас всегда будет возможность принять неограниченное количество смс от выбранного сервиса. Вы всегда сможете восстановить доступ к зарегистрированному аккаунту!
Если в течение первых 20 минут вы не получили смс с кодом, вы можете отказаться от номера, деньги вернутся на ваш счет в полном объеме.
Если вы не получили смс и прошло более 20 минут, отменить аренду будет невозможно. Проданный номер в аренду, не будет перепродан под соответствующий сервис по истечению срока аренды. Минимальный срок аренды составляет 4 часа, максимальный – 4 недели.
Есть два варианта аренды номера:
Полная аренда – в таком случае вам доступен приём абсолютно всех смс*
Арендовать номер под конкретный сервис. В этом случае вы получите смс только от того сервиса, который выбрали.
Арендованный номер находится во вкладке «Аренда», в мобильной версии сайта по вкладке – «Операции». Настройте фильтры для корректного отображения номеров. После окончания срока аренды, номер будет отображен во вкладке «История».
* Кроме смс от мобильного оператора, номер которого вы приобрели
{{item.text}}
В течение выбранного периода, у вас всегда будет возможность принять неограниченное количество смс от выбранного сервиса. Вы всегда сможете восстановить доступ к зарегистрированному аккаунту!
Если в течение первых 20 минут вы не получили смс с кодом, вы можете отказаться от номера, деньги вернутся на ваш счет в полном объеме.
Если вы не получили смс и прошло более 20 минут, отменить аренду будет невозможно. Проданный номер в аренду, не будет перепродан под соответствующий сервис по истечению срока аренды. Минимальный срок аренды составляет 4 часа, максимальный – 4 недели.
Есть два варианта аренды номера:
Полная аренда – в таком случае вам доступен приём абсолютно всех смс*
Арендовать номер под конкретный сервис. В этом случае вы получите смс только от того сервиса, который выбрали.
Арендованный номер находится во вкладке «Аренда», в мобильной версии сайта по вкладке – «Операции». Настройте фильтры для корректного отображения номеров. После окончания срока аренды, номер будет отображен во вкладке «История».
* Кроме смс от мобильного оператора, номер которого вы приобрели
Услуга для регистрации в сервисах, где для подтверждения нужно ввести последние цифры входящего номера.
Номер выдается на 5 минут. В течение этого времени вам необходимо ввести его в сервисе, где вам необходима верификация. Далее на странице "Активации" SMS-Activate отобразится код. Если возникли проблемы с активацией, успейте отменить покупку номера до истечения 5 минут.
При покупке услуги вы также можете неограниченно принимать СМС на купленный номер в течение 20 минут. Услуга верификации предоставляется по единой выгодной стоимости для всех сервисов.
*Получить можно только 1 номер. Если вы получили входящий звонок и цифры подтверждения, возврат средств невозможен.
Верификация по номеру – это услуга для тех случаев, когда для подтверждения телефона необходимо ввести последние цифры номера входящего звонка. Услуга верификации предоставляется по единой выгодной стоимости для всех сервисов.
Минимальный срок аренды номера составляет 4 часа, максимальный – 4 недели. Номер отобразится на странице "Аренда".
В течение времени аренды, которое вы приобрели, вам дается 20 минут на то, чтобы ввести купленный номер в сервисе, где вам необходима верификация и принять входящий звонок.
Если возникли проблемы с активацией, вы не получили смс или не были получены цифры номера входящего звонка, то номер можно отменить бесплатно в течение 20 минут.
*Первый входящий звонок входит в стоимость данной услуги. Все последующие входящие звонки обойдутся в 5% от первоначальной стоимости номера. Если вы получили входящий звонок и цифры подтверждения, возврат средств невозможен.