Данная Политика ответственного раскрытия информации является дополнением к нашимУсловиям предоставления услуг .

Bouncer Sp. z.o.o (LTD) («мы», «нас» или «наш») стремится обеспечить безопасность и защиту наших клиентов и сотрудников.

Мы стремимся к созданию атмосферы доверия и открытого партнерства с сообществом специалистов по безопасности и признаем важность раскрытия информации об уязвимостях и осведомителей для обеспечения безопасности всех наших клиентов, сотрудников и компании.

Мы разработали эту политику, чтобы отразить наши корпоративные ценности и соблюсти юридическую ответственность перед добросовестными исследователями безопасности, которые предоставляют нам свой опыт, и информаторами, которые добавляют дополнительный уровень безопасности в нашу инфраструктуру.

Как отправить сообщение об уязвимости

Чтобы отправить сообщение об уязвимости в команду безопасности продуктов Bouncer, воспользуйтесь следующим электронным адресом [email protected].

Предпочтения, приоритеты и критерии приемлемости

Мы будем использовать следующие критерии для определения приоритетности и сортировки заявок.

Что мы хотели бы от вас видеть:

• Хорошо написанные отчеты на английском языке будут иметь большую вероятность разрешения.
• Отчеты, содержащие код пробного варианта, позволяют нам лучше справляться с проблемами.
• Отчеты, содержащие только дампы аварий или другие результаты работы автоматизированных инструментов, могут получить более низкий приоритет.
• Отчеты, включающие продукты, не входящие в первоначальный перечень, могут получить более низкий приоритет.
• Укажите, как вы обнаружили ошибку, ее последствия и возможные способы устранения.
• Пожалуйста, укажите все планы и намерения по обнародованию информации.
• Также имейте в виду, что пометка всех отчетов как [Critical Urgent], независимо от степени воздействия, является непрофессиональной и заставляет нас относиться к вашим отчетам менее серьезно.

Что вы можете ожидать от Bouncer:

• Своевременный ответ на ваше письмо (в течение 5 рабочих дней).
• После сортировки мы вышлем предполагаемые сроки и обязуемся быть максимально прозрачными в отношении сроков устранения недостатков, а также проблем и трудностей, которые могут их продлить.
• Открытый диалог для обсуждения вопросов.
• Уведомление о завершении каждого этапа анализа уязвимостей.
• Кредит после того, как уязвимость будет подтверждена и устранена.

Если мы не сможем решить вопросы коммуникации или другие проблемы, Bouncer может привлечь нейтральную третью сторону, чтобы помочь определить, как лучше справиться с уязвимостью.

Какие вопросы рассматриваются как выходящие за рамки:

• Практика безопасности, когда существуют другие средства контроля, например, отсутствие заголовков безопасности и т.д.
• Социальная инженерия, фишинг
• Физические атаки
• Захват поддоменов
• Кликджекинг
• Самостоятельный XSS
• Подмена электронной почты — неправильная конфигурация аутентификации электронной почты
• Отсутствующие флаги cookie
• CSRF с минимальным воздействием, например, Login CSRF, Logout CSRF и т.д.
• Подмена содержимого
• Трассировка стека, раскрытие путей, списки каталогов
• Средства контроля SSL/TLS при наличии других средств защиты
• Захват баннера
• Инъекция CSV
• Отраженный файл Скачать
• Отчеты об устаревших браузерах
• Отчеты об устаревших версиях/сборках входящих в сферу действия мобильных приложений
• DOS/DDOS
• Инъекция заголовка хоста без очевидного влияния
• Выходы сканера
• Уязвимости в продуктах сторонних производителей
• Перечисление пользователей
• Сложность пароля
• Метод трассировки HTTP

Вознаграждения

Наше вознаграждение зависит от серьезности уязвимости.
Мы будем рады вознаградить вас за ваш вклад, если вы сообщите об уязвимости, о которой мы еще не знали. Кроме того, несколько уязвимостей, вызванных одной первопричиной, будут вознаграждены только один раз.
Пожалуйста, обратите внимание, что решения о вознаграждении принимаются на наше собственное усмотрение . Проблемы могут получить более низкую степень серьезности из-за компенсирующих средств контроля и контекста.
И наконец, пожалуйста, имейте в виду, что мы сможем выплатить вознаграждение (через PayPal или банковским переводом) только в том случае, если вы сможете выставить нам действительный счет.

Награды и серьезность:

• Критические — $1000+
  Уязвимости, вызывающие повышение привилегий на платформе от непривилегированных до администратора, позволяющие удаленно выполнить код, украсть финансы, получить несанкционированный доступ/извлечь конфиденциальные данные и т.д.
• Высокий — $500
  Уязвимости, влияющие на безопасность платформы, включая процессы, которые она поддерживает.
• Средний — $100
  Уязвимости, затрагивающие множество пользователей и не требующие практически никакого взаимодействия с пользователем для их возникновения
• Низкий — $50
  Проблемы, затрагивающие единичных пользователей и требующие взаимодействия или значительных предварительных условий (MitM) для их возникновения. 

Свяжитесь с нами

Если у вас есть дополнительные вопросы или комментарии о нас или нашей политике, напишите нам по адресу [email protected] или свяжитесь с нами по почте:

ООО «Вышибала» (LTD)
ул. Киприана Камила Норвида 24/1
50-374 Вроцлав
Польша