Политика безопасности

Hack & Fix — учебный сервис для практик информационной безопасности. Все атаки и эксплоиты, изучаемые на Платформе, разрешены исключительно в изолированной учебной среде конкретной лабораторной работы (отдельный Pod / контейнер, временная база данных, выделенный сетевой namespace). Настоящая Политика устанавливает границы допустимых действий и правовые последствия их нарушения.

1. Что разрешено

• Применять любые атакующие техники внутри собственной запущенной лабораторной работы: SQLi, XSS, SSRF, RCE, обход аутентификации, deserialization, race conditions и т. п.
• Использовать ручные и автоматизированные инструменты (Burp Suite, sqlmap, ffuf, browser DevTools) только против выделенного вам Pod лабы.
• Применять знания, полученные на Платформе, в собственных системах или системах третьих лиц при наличии письменной авторизации (договор pentest, программа Bug Bounty стороннего сервиса с разрешённым скоупом).

2. Что строго запрещено

Без явного письменного разрешения Платформы запрещены любые активные действия в отношении следующих ресурсов:

• основное веб-приложение Hack & Fix (frontend, страницы аутентификации, API биллинга, личные кабинеты);
• backend-сервисы и инфраструктура (Lab-Service API, Kubernetes control-plane, базы данных, очереди, кэши);
• хост-узлы, на которых запущены лабораторные Pod-ы; попытки выхода за пределы своего Pod, атаки на соседние Pod-ы, атаки на runtime контейнеров (escape, privilege escalation в namespace);
• аутентификация и авторизация (попытки brute-force, обхода 2FA, подделки JWT, перехвата сессий других пользователей);
• учётные записи и данные других пользователей Платформы (XSS-полезные нагрузки, нацеленные на других зарегистрированных, IDOR против чужих записей в общей БД);
• автоматизированное сканирование инфраструктуры Платформы (Nessus, Acunetix, sqlmap, nuclei, любые crawler-инструменты с массовой нагрузкой);
• DDoS, медленные DoS-атаки (Slowloris и аналоги), массовая регистрация аккаунтов, обход rate-limit;
• распространение вредоносного программного обеспечения через инфраструктуру Платформы (загрузка шеллов на сервера, размещение C2 в публичных контентных полях);
• атаки на сторонние сервисы, используемые Платформой (ЮKassa, хостинг-провайдер, почтовый провайдер, CDN) — эти ресурсы не принадлежат Платформе, для них действуют отдельные правила соответствующих компаний.

3. Правовые последствия

Несанкционированный доступ к компьютерной информации, нарушение работы информационных систем, создание и распространение вредоносного программного обеспечения являются уголовными преступлениями по законодательству Российской Федерации. Применимые статьи Уголовного кодекса РФ:

• Статья 272 УК РФ — Неправомерный доступ к компьютерной информации. Наказание — штраф до 500 000 ₽ или лишение свободы до 7 лет (при отягчающих обстоятельствах).
• Статья 273 УК РФ — Создание, использование и распространение вредоносных компьютерных программ. Наказание — ограничение или лишение свободы до 7 лет.
• Статья 274 УК РФ — Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации. Наказание — штраф до 500 000 ₽ или лишение свободы до 5 лет.
• Статья 274.1 УК РФ — Неправомерное воздействие на критическую информационную инфраструктуру РФ. Наказание — лишение свободы до 10 лет.
• Статья 13.11 КоАП РФ — административная ответственность за нарушения в области обработки персональных данных.

4. Меры со стороны Платформы при выявлении нарушений

Платформа осуществляет постоянное журналирование запросов, мониторинг аномалий и сохранение журналов безопасности на срок не менее 90 дней. При выявлении действий, выходящих за пределы раздела 1 настоящей Политики:

1. Учётная запись Пользователя блокируется незамедлительно без возврата уплаченных средств за активную подписку (см. Условия использования § 5).
2. Сохраняются все технические доказательства инцидента: IP-адреса, временные метки, тела HTTP-запросов, идентификаторы сессии, User-Agent.
3. При наличии признаков состава преступления, предусмотренного статьями 272-274.1 УК РФ, материалы инцидента передаются в правоохранительные органы по их официальному запросу либо по инициативе Платформы.
4. Платформа оставляет за собой право публиковать обезличенные сведения об инциденте (без раскрытия персональных данных Пользователя) в учебных и предупредительных целях.

5. Bug Bounty

Программа Bug Bounty в настоящее время не запущена. Платформа не приглашает внешних исследователей тестировать свою инфраструктуру, не выплачивает вознаграждений за сообщения об уязвимостях и не предоставляет правовой неприкосновенности (safe harbor) за тестирование без авторизации. Любое активное тестирование инфраструктуры Платформы без отдельного письменного согласия рассматривается как несанкционированный доступ со всеми последствиями, описанными в разделе 3.

Если вы случайно обнаружили уязвимость при штатном использовании сервиса (без целенаправленного исследования) и хотите ответственно сообщить о ней — направьте сообщение на legal@hackandfix.ru с описанием проблемы и шагов воспроизведения. Мы благодарны за добросовестные сообщения, однако это не освобождает отправителя от ограничений раздела 2 настоящей Политики.

6. Меры защиты Платформы

• Все соединения защищены протоколом TLS 1.3.
• Аутентификация сессий — через JWT в HTTP-only cookie с флагами Secure и SameSite=Strict.
• Пароли хранятся в виде криптографического хеша bcrypt с уникальной солью.
• Изоляция учебных лабораторных работ обеспечивается отдельным Kubernetes namespace, NetworkPolicy и квотами ресурсов.
• Доступ к серверам ограничен SSH-ключами; операции администрирования журналируются.
• Резервные копии данных шифруются; восстановление производится только лично Оператором.
• Производится регулярное обновление зависимостей и компонентов инфраструктуры.

7. Контакты

По вопросам безопасности, юридическим уведомлениям и официальным запросам — legal@hackandfix.ru. Срок первого ответа — до 5 рабочих дней.