«ВКонтакте» уже платит за найденные в соцсети уязвимости

«Не принимаем в качестве уязвимостей:

• Сообщения от сканеров безопасности и других автоматических систем.
• Сообщения об уязвимости, основанные на версиях ПО/протокола, без указания реального применения.
• Сообщения об отсутствии механизма защиты или несоответствия рекомендациям (например отсутствие CSRF токена) без указания на реально существующие негативные последствия;
• framing, clickjacking;
• Logout CSRF.
• Социальная инженерия.
• Сообщения об Open Redirect (vk.com/away.php)
• Получение физического доступа к серверам/инфраструктуре, угрозы/причинение вреда сотрудникам компании. Более того, подобные действия будут преследоваться по закону.

Пожелания к отчету:

Следование этому пожеланию увеличит вероятность получения награды.

• Сервис, в котором найдена уязвимость.
• Тип уязвимости.
• Как можно проэксплуатировать.
• Как повторить.
• Как исправить, с вашей точки зрения.

О награде:

• Минимальная награда: $100
• Награда зависит от серьезности уязвимости прямо пропорционально.
• Выплаты производятся только через сервис HackerOne.
• Выплата награды за уязвимость производится только первому исследователю, приславшему уязвимость.
• Мы крайне негативно относимся к эксплуатации найденных уязвимостей против наших пользователей, что означает полный отказ в выплате награды за нее.»