⚖️ Черновик. Перед публикацией проверяется юристом на соответствие законодательству Республики Узбекистан. Это не окончательный документ.
Коротко
Если вы искали уязвимости строго в рамках правил и scope конкретной программы на BugHunt и действовали добросовестно — компания-владелец и платформа не будут инициировать против вас судебное или уголовное преследование за это исследование.
Это то, что делает тестирование легальным: компания открывает программу и заранее даёт разрешение, а safe harbor фиксирует, что за добросовестный поиск багов «по правилам» вас не накажут.
Когда safe harbor действует
Гарантия применяется, если одновременно выполнено всё:
- Программа активна, а её владение подтверждено (verified) на платформе.
- Вы тестировали только активы и действия, входящие в scope программы.
- Вы соблюдали Правила программы (без DoS, без ущерба, без доступа к чужим реальным данным сверх минимального подтверждения).
- Вы действовали добросовестно: цель — сообщить о проблеме, а не навредить, не заработать вымогательством и не использовать уязвимость.
- Вы сразу прекратили при доступе к чужим персональным данным и не копировали, не сохраняли, не раскрывали их. Для подтверждения бага достаточно минимального доказательства (скрин одной записи, а не выгрузка базы).
- Вы сообщили о находке приватно через BugHunt и не раскрывали её публично до исправления и явного согласия владельца.
Что вне защиты
Safe harbor не покрывает действия, если вы:
- вышли за пределы scope или тестировали чужой (не входящий в программу) актив;
- вызвали отказ в обслуживании (DoS/нагрузочное), уничтожили или изменили данные;
- получили доступ к аккаунтам, данным или средствам других пользователей и использовали это;
- занимались вымогательством («заплатите, иначе опубликую/сольём»);
- использовали социальную инженерию против сотрудников/клиентов, физический доступ, спам или атаки на инфраструктуру третьих лиц (хостинг, платёжные провайдеры и т.д.);
- публично раскрыли уязвимость до исправления без согласия владельца.
Такие действия могут преследоваться по закону, и BugHunt содействует владельцу.
Как сообщить об уязвимости
- Только приватно, через программу на BugHunt (не в публичных чатах/соцсетях).
- Один отчёт — одна уязвимость, с шагами воспроизведения и минимальным PoC.
- Не раскрывайте находку третьим лицам до исправления.
Важное
- Safe harbor даёт владелец актива (компания), открывая программу; BugHunt выступает площадкой и посредником, а не гарантом действий компании.
- Гарантия касается только добросовестного исследования в рамках конкретной программы и её правил. Она не отменяет прав третьих лиц.
- Если сомневаетесь, входит ли действие в scope — спросите до теста, а не после.