Політика відповідального розкриття інформації
Останнє оновлення 15.11.2023
Ця Політика відповідального розкриття інформації є доповненням до нашихУмов надання послуг .
Bouncer Sp. z.o.o (LTD) (“ми”, “нас” або “наш”) прагне забезпечити безпеку наших клієнтів і співробітників.
Ми прагнемо сприяти створенню атмосфери довіри та відкритого партнерства зі спільнотою безпеки, і ми визнаємо важливість розкриття вразливостей та викривачів для подальшого забезпечення безпеки всіх наших клієнтів, співробітників та компанії.
Ми розробили цю політику, щоб відобразити наші корпоративні цінності та дотриматись нашої юридичної відповідальності перед добросовісними дослідниками безпеки, які надають нам свої знання та досвід, та інформаторами, які додають додатковий рівень безпеки до нашої інфраструктури.
Як повідомити про вразливість
Щоб надіслати звіт про вразливість до команди безпеки продуктів Bouncer, будь ласка, використовуйте наступну електронну пошту [email protected].
Критерії переваги, пріоритетності та прийнятності
Ми будемо використовувати наступні критерії для визначення пріоритетів та сортування заявок.
Що ми хотіли б бачити від вас:
- Добре написані звіти англійською мовою мають більшу ймовірність бути вирішеними.
- Звіти, які містять код підтвердження концепції, допомагають нам краще сортувати.
- Звіти, які містять лише дампи аварій або інші результати роботи автоматизованих інструментів, можуть мати нижчий пріоритет.
- Звіти, які включають продукти, що не ввійшли до початкового списку, можуть мати нижчий пріоритет.
- Будь ласка, вкажіть, як ви знайшли помилку, її вплив та можливі способи виправлення.
- Будь ласка, вкажіть будь-які плани або наміри щодо публічного розкриття інформації.
- Також, будь ласка, майте на увазі, що позначення всіх звітів як [Критично термінових], незалежно від їхнього впливу, є непрофесійним і змушує нас ставитися до ваших звітів менш серйозно.
Чого можна очікувати від Bouncer:
- Своєчасна відповідь на ваш лист (протягом 5 робочих днів).
- Після сортування ми надішлемо очікуваний графік і зобов’язуємося бути максимально прозорими щодо термінів усунення недоліків, а також щодо питань і проблем, які можуть його продовжити.
- Відкритий діалог для обговорення проблем.
- Сповіщення про завершення аналізу вразливостей на кожному етапі нашої перевірки.
- Кредит після перевірки та виправлення вразливості.
Якщо ми не можемо вирішити проблеми зв’язку або інші проблеми, Bouncer може залучити нейтральну третю сторону, щоб допомогти визначити, як найкраще усунути вразливість.
Які питання розглядаються поза рамками :
- Практики безпеки, де існують інші засоби контролю, наприклад, відсутні заголовки безпеки тощо.
- Соціальна інженерія, фішинг
- Фізичні напади
- Поглинання субдомену
- Клікджекінг
- Самостійний XSS
- Підробка електронної пошти – неправильні конфігурації автентифікації електронної пошти
- Відсутні прапорці файлів cookie
- CSRF з мінімальним впливом, тобто Login CSRF, Logout CSRF тощо.
- Підробка контенту
- Трасування стека, розкриття шляхів, списки каталогів
- Контроль SSL/TLS там, де існують інші засоби контролю, що пом’якшують наслідки
- Захоплення банера
- Ін’єкція CSV
- Завантаження відображеного файлу
- Звіти про застарілі браузери
- Звіти про застарілі версії/збірки мобільних додатків, що входять до складу проекту
- DOS/DDOS
- Заголовок хоста Ін’єкція без видимого впливу
- Виходи сканера
- Уразливості в продуктах сторонніх розробників
- Перелік користувачів
- Складність пароля
- Метод трасування HTTP
Нагороди
Наша винагорода залежить від серйозності вразливості.
Ми будемо більш ніж раді компенсувати ваш внесок, якщо ви опублікуєте звіт про вразливість, про яку ми ще не знали. Крім того, кілька вразливостей, спричинених однією першопричиною, будуть винагороджені лише один раз.
Зверніть увагу, що рішення про винагороду приймається на власний розсуд . Проблеми можуть отримати меншу ступінь серйозності через компенсуючі засоби контролю та контекст.
Нарешті, будь ласка, майте на увазі, що ми зможемо виплатити винагороду (через PayPal або банківським переказом) тільки в тому випадку, якщо ви зможете виставити нам дійсний рахунок-фактуру.
Винагороди та суворість:
- Критичні – $1000+
Уразливості, що призводять до підвищення привілеїв на платформі від непривілейованого користувача до адміністратора, дозволяють віддалене виконання коду, фінансову крадіжку, несанкціонований доступ/витяг конфіденційних даних тощо. - Високий – $500
Вразливості, які впливають на безпеку платформи, включаючи процеси, які вона підтримує. - Середній – $100
Вразливості, які впливають на багатьох користувачів, і для спрацьовування яких потрібна незначна взаємодія з користувачем або вона взагалі відсутня - Низька – $50
Проблеми, які впливають на окремих користувачів і потребують взаємодії або значних передумов (MitM) для запуску.
Зв’яжіться з нами
Якщо у вас є додаткові запитання або коментарі щодо нас або нашої політики, напишіть нам на [email protected] або зв’яжіться з нами поштою за адресою:
Bouncer Sp. z o.o. (ТОВ)
ul. Кіпріана Каміла Норвіда 24/1
50-374 Вроцлав
Польща