Zaproszenie dla globalnego środowiska pentesterów i badaczy bezpieczeństwa. Testuj K0NSULT, zgłaszaj skoordynowanie, zdobywaj uznanie. To brama wejścia dla świata: każdy potwierdzony raport czyni platformę silniejszą, a badacza wpisuje do rosteru. Uczciwie: program startuje jako recognition-first — uznanie, Hall of Fame, punkty i swag od pierwszego dnia; nagrody pieniężne to ROADMAP uruchamiana wraz z finansowaniem.
Program nagradza to, co potwierdzone. Zgłoszenie bez odtwarzalnego dowodu pozostaje hipotezą (status GAP), nie wpisem do Hall of Fame. Kwoty pieniężne są planowane i jawnie oznaczone jako ROADMAP; uznanie, punkty i miejsce w rosterze działają LIVE od startu.
Bug Bounty dziedziczy zakres, reguły bezpiecznej przystani (safe harbor) i kanał zgłoszeń z polityki ujawniania. Zanim zaczniesz testy — przeczytaj VDP.
k0nsult.cloud i subdomeny produkcyjne, publiczne API /api/*, warstwa autoryzacji (email-OTP), portal /ai-truth, warstwa agentowa AI (prompt injection, agent hijack).Klasyfikacja severity wg CVSS 3.1/4.0, potwierdzana w triage. Kolumna „Uznanie / punkty" działa LIVE od startu. Kolumna „Nagroda (widełki)" to plan — ROADMAP — i nie stanowi obietnicy wypłaty do czasu ogłoszenia uruchomienia.
| Severity | CVSS | Priorytet | Uznanie / punkty LIVE | Nagroda (widełki) ROADMAP |
|---|---|---|---|---|
| Critical | 9.0–10.0 | P0 | 100 pkt · wpis Hall of Fame (wyróżnienie) · swag · zaproszenie do rosteru | plan: 4 000–12 000 PLN ROADMAP |
| High | 7.0–8.9 | P1 | 50 pkt · wpis Hall of Fame · swag | plan: 1 500–4 000 PLN ROADMAP |
| Medium | 4.0–6.9 | P2 | 20 pkt · wpis Hall of Fame | plan: 400–1 500 PLN ROADMAP |
| Low | 0.1–3.9 | P3 | 5 pkt · podziękowanie · wpis zbiorczy | plan: swag / drobne uznanie ROADMAP |
Widełki mają charakter orientacyjny i ilustrują docelową strukturę. Ostateczna kwota (po uruchomieniu) zależy od jakości raportu, odtwarzalności, realnego wpływu i unikalności. Duplikaty i self-XSS bez wpływu nie są punktowane.
Tablica badaczy, których potwierdzone zgłoszenia wzmocniły K0NSULT. Nie ukrywamy stanu: nie było jeszcze żadnego potwierdzonego raportu, więc tabela jest pusta. To nie znak słabości — to znak uczciwości. Bądź pierwszym wpisem.
| # | Badacz / handle | Kraj | Severity | Punkty | Data |
|---|---|---|---|---|---|
| — brak wpisów — GAP · żadne potwierdzone zgłoszenie jeszcze nie wpłynęło · bądź pierwszy → zgłoś | |||||
Leaderboard rankuje badaczy według sumy punktów za potwierdzone zgłoszenia. Punkty przyznaje się dopiero po walidacji dowodu — nigdy za samo twierdzenie o podatności.
Wpis do Hall of Fame, punkty, swag i (za zgodą) publiczne podziękowanie. Możliwe zgłoszenie anonimowe lub pod pseudonimem — handle wystarczy.
Nagrody pieniężne uruchamiamy po zabezpieczeniu budżetu. Do tego czasu nie składamy obietnic wypłat. Uruchomienie ogłosimy jawnie na tej stronie z datą wejścia w życie.
Po uruchomieniu wypłat badacz odpowiada za rozliczenie podatkowe w swojej jurysdykcji; K0NSULT dopełni wymogów dokumentacyjnych po stronie płatnika zgodnie z prawem PL/UE.
Program otwarty dla badaczy z całego świata. Wyłączeni: osoby/podmioty na listach sankcyjnych (UE/ONZ/OFAC) lub z jurysdykcji objętych sankcjami, oraz osoby, wobec których uczestnictwo naruszałoby prawo.
Wykluczeni z nagrody są także obecni pracownicy/kontraktorzy K0NSULT i osoby z konfliktem interesu. Zgłoszenia z ich strony są mile widziane, lecz nie punktowane w leaderboardzie.
Bug Bounty jest wejściem świata do K0NSULT. Nie mierzymy powagi organizacji deklaracjami — mierzymy ją tym, że zapraszamy najlepszych, by nas łamali, i uczciwie pokazujemy stan (nawet pusty Hall of Fame). Każdy potwierdzony raport zamyka pętlę odporności i buduje reputację badacza wewnątrz ekosystemu.
Potwierdzeni badacze trafiają do rosteru — bazy zweryfikowanych ekspertów bezpieczeństwa K0NSULT.
Ścieżka od hunter do trenera/mentora: warsztaty, red team, programy podnoszenia kwalifikacji.
Zasady i zgłoszenia w VDP, kontekst zagrożeń w Threat Intel, wydarzenia live na hackatonie.