База знаний
Помощь
Полезная информация о SideMC: подключение, скины, моды, промокоды и документы.
Bug Bounty
О программе
Защита данных и приватность игроков SideMC стоят для нас на первом месте. Мы не только укрепляем инфраструктуру собственными силами, но и предлагаем сообществу — игрокам и специалистам по информационной безопасности — участвовать в выявлении слабых мест до того, как ими смогут воспользоваться третьи лица.
Задача программы — объединить усилия для оперативного обнаружения и закрытия брешей в безопасности прежде, чем они повлияют на игроков или работу сервисов.
Порядок подачи отчёта
Рекомендуем ознакомиться с этой страницей полностью перед подготовкой отчёта — так вы будете в курсе границ программы, требований к оформлению и исключений.
Отправляйте отчёты и задавайте вопросы по адресу security@sidemc.net. Если мы подтвердим наличие уязвимости и она будет соответствовать критериям программы, мы возьмём её в работу и будем держать вас в курсе процесса.
Основные условия
Принимая участие в программе, вы принимаете следующие правила:
- Любая переписка (отчёты, уточнения, вопросы) ведётся исключительно через security@sidemc.net.
- Сведения об обнаруженной уязвимости передаются только SideMC. Публичное раскрытие запрещено до тех пор, пока мы не получим достаточно времени для устранения проблемы.
- К участию в программе с выплатой вознаграждения допускаются только совершеннолетние лица (от 18 лет).
Требования к тестированию
В ходе поиска уязвимостей необходимо придерживаться следующих правил:
- Используйте для тестирования исключительно свои учётные записи.
- Доступ к чужим аккаунтам допустим только с письменного разрешения их владельца.
- Запрещены любые действия, способные нарушить целостность, конфиденциальность или привести к потере данных.
- Запрещено вызывать перебои в работе сервисов, снижать их производительность или предпринимать действия, угрожающие доступности (в том числе DoS-атаки).
Дублирующие отчёты
Когда об одной уязвимости сообщают несколько человек:
- Награду получает только автор первого корректного сообщения.
- Если отчёты поступили практически одновременно, приоритет отдаётся более раннему по времени.
- Дублирующие отчёты рассматриваются, однако повторная выплата не производится.
- Если повторный отчёт содержит ценные дополнительные сведения, он может быть частично отмечен.
- Мы уведомим вас, если ваш отчёт окажется дубликатом.
Содержание отчёта
Детальный и структурированный отчёт ускоряет проверку и устранение проблемы.
- Контактные данные — ваше имя, email и удобный канал связи.
- Класс уязвимости и затронутый элемент — например, XSS, SQL-инъекция, RCE, обход авторизации.
- Техническое описание — суть уязвимости и, если возможно, её коренная причина.
- Расположение — URL, endpoint, путь к файлу, API-маршрут или порт.
- Инструкция по воспроизведению — пошаговая, пронумерованная. Это ключевая часть отчёта.
- Подтверждение (PoC) — скриншоты, видеозапись или исполняемый код.
- Оценка воздействия — к чему может привести эксплуатация уязвимости.
- Советы по исправлению (по желанию) — мы будем признательны за ваши идеи.
Случайный доступ к данным игроков
Если в процессе исследования вы непреднамеренно получили доступ к персональным данным другого игрока — не изучайте, не копируйте и не распространяйте их. Удалите все локальные копии и обязательно укажите этот факт в отчёте.
Исключения из программы
Перечисленные ниже категории не рассматриваются в рамках программы:
- DoS/DDoS, брутфорс, массовая рассылка, методы социальной инженерии.
- Отчёты, не демонстрирующие реального влияния на безопасность.
- Перебор учётных записей или адресов электронной почты.
- Некорректная настройка SPF, DKIM, DMARC почтовых записей.
- Отсутствие HTTP-заголовков безопасности без демонстрации реального ущерба.
- Кликджекинг на страницах, не содержащих чувствительных операций.
- CSRF при разлогинивании или действиях, не изменяющих состояние.
- Известные уязвимости в сторонних библиотеках без рабочего PoC.
- Self-XSS и подобные уязвимости, эксплуатируемые только самим пользователем.
- Игровые баги и читы, не затрагивающие серверную безопасность.
- Вопросы игрового баланса и ошибки в пользовательском контенте.
- Уязвимости, для эксплуатации которых необходим физический доступ к устройству.
Область действия программы
SideMC Client
Десктопный игровой клиент
SideMC Server
Серверная часть игры
SideMC Launcher
Лаунчер для загрузки и обновления клиента
Web
Официальный сайт SideMC
Публичные API
Эндпоинты аутентификации, управления аккаунтами, игровых сервисов, магазина, платежей и др.
Сторонние интеграции
OAuth-провайдеры и вход через соцсети (рассматриваются только проблемы на стороне SideMC)
Классификация уязвимостей
Удалённое исполнение кода на серверной инфраструктуре, масштабная компрометация данных.
RCE с аутентификацией, XSS в контексте авторизации.
Ограниченные IDOR-уязвимости, CSRF в некритичных функциях.
Незначительные дефекты, не представляющие существенной угрозы.
Гарантии для исследователей
Мы расцениваем исследование как правомерное, если оно ведётся честно, в рамках закона, нацелено на улучшение безопасности и соответствует условиям настоящей программы.
В отношении такой деятельности SideMC: не станет инициировать судебное преследование; не будет предъявлять претензии за временный обход защитных механизмов в исследовательских целях; частично снимает ограничения Пользовательского соглашения, если они препятствуют добросовестному исследованию в рамках программы.
Условия выплат
Дополнительные положения:
- Налоговые обязательства по полученному вознаграждению несёт участник.
- Мы оставляем за собой право изменять условия программы или завершить её в любой момент; при этом уже поданные отчёты рассматриваются по правилам, действовавшим на момент подачи.
- Выплаты не производятся лицам, перечисление средств которым запрещено действующим законодательством.
- Работники SideMC и их ближайшие родственники не могут претендовать на вознаграждение.