Käesolev vastutustundliku avalikustamise poliitika on meie teenusetingimuste laiendus.

Bouncer Sp. z.o.o (LTD) (“meie”, “meid” või “meie”) on pühendunud oma klientide ja töötajate ohutuse ja turvalisuse tagamisele.

Meie eesmärk on edendada usalduskeskkonda ja avatud partnerlust turvakogukonnaga ning me tunnistame haavatavuste avalikustamise ja rikkumisest teavitamise tähtsust, et tagada jätkuvalt kõigi meie klientide, töötajate ja ettevõtte ohutus ja turvalisus.

Me oleme välja töötanud selle poliitika, et kajastada meie ettevõtte väärtusi ja täita meie õiguslikku vastutust heauskse turvalisuse uurija ees, kes annab meile oma teadmisi ja teavet, mis lisab meie infrastruktuurile täiendava turvakihi.

Kuidas esitada haavatavus

Haavatavuseteate esitamiseks Bounceri tooteturbe meeskonnale kasutage palun järgmist e-postiaadressi [email protected].

Eelistus, prioriteetide seadmine ja vastuvõtukriteeriumid

Me kasutame järgmisi kriteeriume, et seada taotlusi tähtsuse järjekorda ja hinnata neid.

Mida me tahaksime sinult näha:

• Hästi kirjutatud ingliskeelsete aruannete lahendamise tõenäosus on suurem.
• Aruanded, mis sisaldavad tõestuskoodi, võimaldavad meil paremini hinnata olukorda.
• Aruanded, mis sisaldavad ainult crash-dumpe või muid automatiseeritud tööriistade väljundeid, võivad saada madalama prioriteedi.
• Aruanded, mis hõlmavad tooteid, mis ei ole esialgse reguleerimisala nimekirjas, võivad saada madalama prioriteedi.
• Palun lisage, kuidas leidsite vea, selle mõju ja võimalikud parandusmeetmed.
• Palun lisage kõik plaanid või kavatsused avalikustamiseks.
• Samuti pidage meeles, et kõikide aruannete märkimine [Kriitiliselt kiireloomuline], olenemata nende mõjust, on ebaprofessionaalne ja paneb meid teie aruannetesse vähem tõsiselt suhtuma.

Mida võite oodata Bouncerilt:

• Õigeaegne vastus teie e-kirjale (5 tööpäeva jooksul).
• Pärast kontrollimist saadame eeldatava ajakava ja kohustume olema võimalikult läbipaistvad nii parandamise ajakava kui ka seda pikendada võivate probleemide või väljakutsete osas.
• Avatud dialoog probleemide arutamiseks.
• Teade, kui haavatavuse analüüs on lõpetanud iga meie läbivaatamise etapi.
• Krediit pärast seda, kui haavatavus on kinnitatud ja parandatud.

Kui me ei suuda lahendada kommunikatsiooniprobleeme või muid probleeme, võib Bouncer kaasata neutraalse kolmanda osapoole, kes aitab kindlaks teha, kuidas haavatavusega kõige paremini toime tulla.

Milliseid küsimusi peetakse reguleerimisalast väljapoole jäävateks :

• Turvatavad, mille puhul on olemas muud leevendavad kontrollid, nt puuduvad turvaotsikud jne.
• Sotsiaalne insenerlus, andmepüük
• Füüsilised rünnakud
• Alamdomeeni ülevõtmine
• Clickjacking
• Self XSS
• Email Spoofing – E-posti autentimise väärkonfiguratsioonid
• Puuduvad küpsiste lipud
• CSRF minimaalse mõjuga, st sisselogimise CSRF, väljumise CSRF jne.
• Sisu võltsimine
• Stack Traces, Path Disclosure, Directory Listings
• SSL/TLS-kontrollid, kui on olemas muud leevendavad kontrollid
• Bänneri haaramine
• CSV süstimine
• Reflekteeritud faili allalaadimine
• Aruanded vananenud brauserite kohta
• Aruanded vananenud versioonide/koostude kohta, mis on hõlmatud mobiilirakendustega.
• DOS/DDOS
• Hosti päise süstimine ilma tõendatava mõjuta
• Skänneri väljundid
• Kolmanda osapoole toodete haavatavused
• Kasutaja loenduspunkt
• Paroolide keerukus
• HTTP jälgimismeetod

Preemiad

Meie preemiad põhinevad haavatavuse raskusastmel.
Me oleme rohkem kui õnnelikud, et hüvitame teie panuse, kui te teatate haavatavusest, millest me veel ei olnud teadlikud. Samuti premeeritakse ühe algpõhjuse poolt põhjustatud mitut haavatavust ainult üks kord.
Pange tähele, et premeerimisotsused on meie enda otsustada . Probleemid võivad saada madalama raskusastme kompenseerivate kontrollide ja konteksti tõttu.
Lõpetuseks, pidage meeles, et me saame tasu maksta (PayPali või ülekande kaudu) ainult siis, kui te suudate meile esitada kehtiva arve.

Tasud ja raskusaste:

• Kriitiline – $1000+
  Haavatavused, mis põhjustavad platvormil privileegide eskaleerumise mitteõigustatud kasutajalt administraatorile, võimaldavad koodi kaugjuhtimist, finantsvargust, tundlike andmete volitamata juurdepääsu/kaevamist jne.
• Kõrge – $500
  Haavatavused, mis mõjutavad platvormi turvalisust, sealhulgas selle poolt toetatavaid protsesse.
• Keskmine – $100
  Haavatavused, mis mõjutavad mitut kasutajat ja mille käivitamiseks on vaja vähe või üldse mitte mingit kasutaja sekkumist.
• Madal – $50
  Probleemid, mis puudutavad üksikuid kasutajaid ja nõuavad koostoimimist või olulisi eeldusi (MitM), et käivituda. 

Võtke meiega ühendust

Kui teil on lisaküsimusi või kommentaare meie või meie põhimõtete kohta, saatke meile e-kiri aadressil [email protected] või võtke meiega ühendust posti teel aadressil:

Bouncer Sp. z o.o. (LTD)
ul. Cypriana Kamila Norwida 24/1
50-374 Wrocław
Poola