ГлавнаяСерверыМагазинНовости
ВойтиРегистрация
Скачать

Программа Bug Bounty

Зачем нужна программа

Добро пожаловать в программу вознаграждения за обнаружение ошибок LoliLand! Безопасность и конфиденциальность наших пользователей чрезвычайно важны для нас. Помимо наших внутренних команд, работающих над обеспечением вашей безопасности и защиты ваших данных, эта программа позволяет игрокам и сообществу исследователей в области безопасности помогать нам быстро устранять проблемы безопасности, сообщая об уязвимостях.

Цель программы простая: помочь нам быстрее находить и устранять уязвимости до того, как ими кто-то воспользуется во вред пользователям или сервисам.

Как связаться с нами

Перед отправкой отчета, пожалуйста, прочитайте страницу полностью. Это поможет сразу понять рамки программы, требования к отчету и случаи, которые не подлежат вознаграждению.

Отчеты и вопросы по программе отправляйте на security@loliland.ru. Если проблема подтвердится и будет соответствовать критериям вознаграждения, мы примем ее в работу и будем сообщать о ходе рассмотрения.

Условия участия

Базовые правила

  • Все сообщения по программе (отчеты, вопросы, уточнения) ОБЯЗАТЕЛЬНО направляйте на security@loliland.ru.
  • Информацию об уязвимости вы передаете только компании LoliLand Studios и не публикуете ее до тех пор, пока у нас не будет разумного времени на исправление.
  • Получать вознаграждение за обнаружение ошибок и уязвимостей могут только лица старше 18 лет.

Правила безопасного тестирования

  • Проводите тестирование только через ваши личные учетные записи.
  • Не получайте доступ к чужим учетным записям и не используйте их без явного согласия владельца.
  • Избегайте любых действий, которые могут нарушить конфиденциальность данных или привести к их изменению либо уничтожению.
  • Не допускайте сбоев, деградации сервиса или других действий, влияющих на доступность наших услуг (включая отказ в обслуживании).

Повторные отчёты и приоритет

Если одна и та же уязвимость поступает от нескольких исследователей, мы применяем следующие правила:

  • Вознаграждение может быть выплачено только за первое достоверное сообщение об уязвимости.
  • Если одновременно получено несколько отчетов, приоритет определяется по самой ранней временной метке.
  • Повторные обращения мы также рассматриваем, но вознаграждение за них не предусмотрено.
  • Отчеты, предоставляющие дополнительный контекст или информацию о влиянии известной проблемы, могут быть частично учтены по нашему усмотрению.
  • Если ваш отчет окажется дубликатом ранее отправленного сообщения, мы сообщим вам об этом.

Что включить в отчёт

Чем точнее и полнее отчет, тем быстрее мы сможем его проверить, воспроизвести и передать на исправление.

Контекст и описание

  • Контактная информация — ваше имя, адрес электронной почты и предпочтительный способ связи.
  • Классификация проблемы и затронутый компонент — укажите тип уязвимости (например, XSS, SQL-инъекция, RCE, обход аутентификации и т. д.) и где именно она проявляется (см. раздел «Что подпадает под действие программы»).
  • Техническое описание — подробно опишите уязвимость и, по возможности, её первопричину. Мы ориентируемся на техническую аудиторию, поэтому важна точность формулировок.
  • Местоположение уязвимости — укажите, где именно находится проблема: URL/endpoint, путь к файлу, строка кода, открытый порт, API-маршрут и т. п.

Проверка и оценка влияния

  • Этапы воспроизведения — четкие, пронумерованные шаги. Этот пункт критически важен для проверки и исправления.
  • Доказательство концепции (PoC) — скриншоты, видео или код, демонстрирующие проблему.
  • Ограничения при проверке — не выполняйте деструктивных действий и не получайте доступ к данным сверх объема, необходимого для подтверждения уязвимости.
  • Оценка последствий — опишите, каких результатов может добиться злоумышленник при эксплуатации.
  • Предлагаемые решения (необязательно) — если у вас есть рекомендации по устранению проблемы, мы будем рады их услышать.

Если вы столкнулись с данными игрока

ВАЖНО: Если вы случайно обнаружили данные игрока, не просматривайте, не изменяйте, не сохраняйте, не храните, не передавайте и не получайте к ним доступ каким-либо иным способом. Немедленно удалите всю локальную информацию и сообщите нам об этом в отчете.

Что не подлежит вознаграждению

Ниже перечислены случаи, которые находятся вне рамок программы или не считаются основанием для выплаты.

Явно запрещенные или нерелевантные активности

  • DoS/DDoS-атаки
  • Перебор паролей и подбор учетных данных
  • Спам-атаки или атаки с использованием методов социальной инженерии

Отчёты без подтвержденного влияния

  • Отчеты, не представляющие никакой угрозы безопасности.
  • Перечисление учетных записей или адресов электронной почты
  • Проблемы с настройкой SPF, DKIM и DMARC в электронной почте
  • Проблемы с ограничением или регулированием скорости передачи данных.
  • Отсутствие заголовков безопасности без доказанного влияния на безопасность.
  • Кликджекинг на страницах, не содержащих конфиденциальных действий.
  • CSRF-атаки при выходе из системы или операциях, не изменяющих состояние.
  • Уязвимости в зависимостях сторонних разработчиков без работающего концептуального доказательства.

Случаи вне рамок программы

  • Самоэксплуатация (уязвимости, которыми может воспользоваться только жертва)
  • Игровые эксплойты или читы, не влияющие на безопасность сервера.
  • Проблемы с балансом игрового процесса
  • Ошибки в пользовательском контенте или модификациях
  • Уязвимости, требующие физического доступа к устройству.

Что подпадает под действие программы

LoliLand Game Client
Игровой клиент для ПК
LoliLand Game Server
Игровой сервер для ПК
LoliLand Launcher
Приложение для запуска/обновления игрового клиента
Web
loliland.ru - Основной сайт
Публичные API
Аутентификация, авторизация, учётные записи, игровые сервисы, API магазина, пополнения баланса и т. д.
Интеграции со сторонними сервисами
OAuth, авторизация через социальные сети (только проблемы на стороне LoliLand)

Уровни уязвимостей

Чем выше уровень уязвимости, тем большую награду мы готовы выплатить.

Критический
Например, выполнение вашего кода на стороне наших серверов, массовая утечка данных
Высокий
Например, authenticated RCE, XSS-атака на страницах аутентификации
Средний
Например, ограниченный IDOR, CSRF при некритических действиях
Низкий
Всё, что не несёт серьёзной угрозы, незначительные неисправности

Правовые условия и защита исследователей

Когда исследование считается допустимым

Мы рассматриваем исследование как допустимое в рамках этой политики, если оно:

  • проводится законно и добросовестно;
  • направлено на повышение безопасности, а не на причинение вреда;
  • выполняется с соблюдением правил этой программы.

Что это означает с нашей стороны

Для такой деятельности мы:

  • не будем инициировать или поддерживать судебные действия, включая гражданские иски, а также не будем подавать жалобы в правоохранительные органы, если по нашему единоличному усмотрению это добросовестная попытка соблюдения данной политики;
  • не будем предъявлять претензии за обход средств контроля использования технологий, если такие действия выполнены в рамках допустимого исследования;
  • в ограниченной степени снимаем ограничения из наших Условий предоставления услуг и Политики допустимого использования, если они мешают исследованиям, проводимым в соответствии с данной политикой;
  • считаем деятельность, выполняемую в соответствии с данной политикой, «разрешенной» в рамках Закона о компьютерном мошенничестве и злоупотреблениях (CFAA), Закона об авторском праве в цифровую эпоху (DMCA) и аналогичных международных законов.

Что важно помнить

  • Вы по-прежнему обязаны соблюдать все применимые законы.
  • Если у вас есть сомнения, соответствует ли ваш метод исследования данной политике, сначала напишите на security@loliland.ru.
  • Компания LoliLand Studios оставляет за собой окончательное решение о том, соответствует ли представленная информация данной политике и насколько достоверной является сообщенная уязвимость.

Выплаты и ограничения

  • Вы несете ответственность за уплату любых налогов, связанных с вознаграждениями.
  • Мы можем изменить условия программы или прекратить ее действие в любое время, но изменения не применяются задним числом к уже отправленным отчетам.
  • Сообщения от лиц, которым мы по закону не имеем права выплачивать вознаграждение, не подлежат вознаграждению.
  • Сотрудники LoliLand Studios и члены их семей не имеют права на получение вознаграждений.
Основное
Начать игруРегистрацияГлавнаяСерверыМагазин
Активность
БонусыПригласить друзейТопы игроков
Прочее
Правила сообществаКоманда проектаПоиск игроков
Вконтакте147 558Discord44 078YouTube4 820Telegram6 864
Столкнулись с проблемой или нужна помощь? Мы на связи.
Поддержка
О нас & контактыУсловия использованияЛицензионное соглашениеПолитика CookieПолитика конфиденциальностиBug Bounty
©2020-2026. LOLILAND STUDIOS. ALL RIGHTS RESERVED. All trademarks referenced herein are the properties of their respective owners.

Этот сайт использует файлы cookie для улучшения вашего пользовательского опыта.

Узнать большеПолитика Cookie