Програма за награди за грешки
Ангажираме се да защитаваме нашата общност и сме създали програма за сигурност, чрез която потребителите могат да докладват за проблеми, свързани със сигурността на нашия уебсайт.
Ако смятате, че сте открили уязвимост или проблем и искате да участвате в нашата програма, моля, предоставете ни подробно описание на проблема, включително стъпки, които можем да предприемем, за да възпроизведем проблема, и/или доказателство за концепцията.
Ако подадете доклад, моля, дайте на екипа ни разумен срок за отговор на доклада и разрешаване на проблема. Оценяваме високо усилията ви за защита на нашата общност и можем да наградим участниците за тяхната помощ. Всички доклади са предмет на условията на нашата програма, изложени по-долу, и на Условията за ползване на услугата, достъпни на уебсайта.
Обхват
Приемаме съобщения за всякакви проблеми или уязвимости, свързани със сигурността, които откриете в нашия уебсайт. Въпреки това, моля, не прибягвайте до фишинг, спам или други съмнителни методи, които биха могли да тормозят нашите потребители или да компрометират техните данни, да генерират значителен трафик или да причинят смущения в работата на нашия уебсайт. Използването на автоматизирани инструменти за сканиране на сигурността е разрешено, стига да не предизвикват проблеми.
Bounty
Минималното възнаграждение е 100 USD за нарушения на сигурността. Възнаграждението зависи от сериозността на нарушението на сигурността. Проблеми, които не засягат сигурността, не отговарят на условията за получаване на възнаграждение, но все пак са добре дошли и ще бъдат разглеждани като всеки друг доклад.
Допустимост
- Трябва да сте първият, който ще докладва за уязвимостта.
- Нямате достъп до данните на други потребители и използвате само собствените си създадени акаунти.
- Не трябва да разкривате публично уязвимостта, докато не я отстраним.
- Ще предоставите работеща концепция, която използва уязвимостта.
- Докладът за уязвимост ще бъде криптиран с помощта на PGP (вж. по-долу за подробности; вж.: Свържете се с нас).
Изключване
Регистрация/дерегистрация CSRF
DDoS
Социален инженеринг при клиенти или служители на HOT Group AG
Self-XSS (изискваме доказателство за това как XSS може да се използва за атака на друг потребител на Algolia)
Пренебрегване на ограниченията на тарифите
Доклад за автоматични инструменти и сканирания
Уязвимости при изпращане на спам или неоторизирани съобщения
Грешки в софтуер на трети страни
Свързани с опциите на X-кадъра
Свързани с HSTS
DNSSEC
Липсващи заглавия за сигурност, които не водят директно до уязвимост
Физически атаки срещу инфраструктурата
Теоретични атаки
Разрушаване на доверието в SSL/TLS
Компрометиране на браузъра/устройството (напр. споделяне на компютър, физически достъп до устройството на потребителя, ...)
Уязвимости, които засягат само потребителите на остарели или непоправени браузъри и платформи
Политики за възстановяване на пароли и акаунти, напр. изтичане на срока на валидност на връзката за нулиране или сложност на паролата
Уязвимости без разрешение от наша страна (HEIST, ...)
Неактуални DNS записи, сочещи към система, която не ни принадлежи
Собственост и стимул
Всеки доклад, който ни изпратите, става наша собственост и ние не сме задължени да отговаряме на него. Въпреки това, ако реагираме на доклад, по наша преценка можем да ви предоставим парична или непарична компенсация, за да изразим благодарността си за вашата помощ. Вие носите отговорност за всички данъци и всякакви разходи, разноски или такси, свързани с участието Ви в Програмата и всяка награда.
Отказ от гаранция
ВИЕ ИЗРИЧНО ПОТВЪРЖДАВАТЕ И СЕ СЪГЛАСЯВАТЕ, ЧЕ: (1) УЧАСТИЕТО ВИ В ПРОГРАМАТА И ИЗПОЛЗВАНЕТО НА НАГРАДИ Е НА ВАШ СОБСТВЕН РИСК. HOT GROUP AG ИЗРИЧНО СЕ ОТКАЗВА ОТ ВСИЧКИ ГАРАНЦИИ ОТ ВСЯКАКЪВ ВИД, ИЗРИЧНИ ИЛИ ПОДРАЗБИРАЩИ СЕ, ВКЛЮЧИТЕЛНО, НО НЕ САМО, ПОДРАЗБИРАЩИТЕ СЕ ГАРАНЦИИ ЗА ПРОДАВАЕМОСТ, ГОДНОСТ ЗА ОПРЕДЕЛЕНА ЦЕЛ И НЕНАРУШАВАНЕ НА ПРАВА. HOT GROUP AG ИЗРИЧНО СЕ ОТКАЗВА ОТ ВСЯКАКВА ОТГОВОРНОСТ ЗА ДЕЙСТВИЯ, ПРОИЗТИЧАЩИ ОТ УЧАСТИЕТО ВИ В ПРОГРАМАТА ИЛИ ИЗПОЛЗВАНЕТО НА НАГРАДАТА.
Заключителна бележка
Молим ви да спазвате принципите на отговорното оповестяване и да дадете на нашия екип по разработката разумен период от време, за да отговори и коригира подадения проблем, преди да го оповестите публично. Молим ви да общувате открито с нас по отношение на публикуването, за да сме съгласни с доклада и графика.
Много ви благодарим, наистина оценяваме усилията ви! Забавлявайте се с хакерството!
Ако смятате, че сте открили уязвимост или проблем и искате да участвате в нашата програма, моля, предоставете ни подробно описание на проблема, включително стъпки, които можем да предприемем, за да възпроизведем проблема, и/или доказателство за концепцията.
Ако подадете доклад, моля, дайте на екипа ни разумен срок за отговор на доклада и разрешаване на проблема. Оценяваме високо усилията ви за защита на нашата общност и можем да наградим участниците за тяхната помощ. Всички доклади са предмет на условията на нашата програма, изложени по-долу, и на Условията за ползване на услугата, достъпни на уебсайта.
Обхват
Приемаме съобщения за всякакви проблеми или уязвимости, свързани със сигурността, които откриете в нашия уебсайт. Въпреки това, моля, не прибягвайте до фишинг, спам или други съмнителни методи, които биха могли да тормозят нашите потребители или да компрометират техните данни, да генерират значителен трафик или да причинят смущения в работата на нашия уебсайт. Използването на автоматизирани инструменти за сканиране на сигурността е разрешено, стига да не предизвикват проблеми.
Bounty
Минималното възнаграждение е 100 USD за нарушения на сигурността. Възнаграждението зависи от сериозността на нарушението на сигурността. Проблеми, които не засягат сигурността, не отговарят на условията за получаване на възнаграждение, но все пак са добре дошли и ще бъдат разглеждани като всеки друг доклад.
Допустимост
- Трябва да сте първият, който ще докладва за уязвимостта.
- Нямате достъп до данните на други потребители и използвате само собствените си създадени акаунти.
- Не трябва да разкривате публично уязвимостта, докато не я отстраним.
- Ще предоставите работеща концепция, която използва уязвимостта.
- Докладът за уязвимост ще бъде криптиран с помощта на PGP (вж. по-долу за подробности; вж.: Свържете се с нас).
Изключване
Регистрация/дерегистрация CSRF
DDoS
Социален инженеринг при клиенти или служители на HOT Group AG
Self-XSS (изискваме доказателство за това как XSS може да се използва за атака на друг потребител на Algolia)
Пренебрегване на ограниченията на тарифите
Доклад за автоматични инструменти и сканирания
Уязвимости при изпращане на спам или неоторизирани съобщения
Грешки в софтуер на трети страни
Свързани с опциите на X-кадъра
Свързани с HSTS
DNSSEC
Липсващи заглавия за сигурност, които не водят директно до уязвимост
Физически атаки срещу инфраструктурата
Теоретични атаки
Разрушаване на доверието в SSL/TLS
Компрометиране на браузъра/устройството (напр. споделяне на компютър, физически достъп до устройството на потребителя, ...)
Уязвимости, които засягат само потребителите на остарели или непоправени браузъри и платформи
Политики за възстановяване на пароли и акаунти, напр. изтичане на срока на валидност на връзката за нулиране или сложност на паролата
Уязвимости без разрешение от наша страна (HEIST, ...)
Неактуални DNS записи, сочещи към система, която не ни принадлежи
Собственост и стимул
Всеки доклад, който ни изпратите, става наша собственост и ние не сме задължени да отговаряме на него. Въпреки това, ако реагираме на доклад, по наша преценка можем да ви предоставим парична или непарична компенсация, за да изразим благодарността си за вашата помощ. Вие носите отговорност за всички данъци и всякакви разходи, разноски или такси, свързани с участието Ви в Програмата и всяка награда.
Отказ от гаранция
ВИЕ ИЗРИЧНО ПОТВЪРЖДАВАТЕ И СЕ СЪГЛАСЯВАТЕ, ЧЕ: (1) УЧАСТИЕТО ВИ В ПРОГРАМАТА И ИЗПОЛЗВАНЕТО НА НАГРАДИ Е НА ВАШ СОБСТВЕН РИСК. HOT GROUP AG ИЗРИЧНО СЕ ОТКАЗВА ОТ ВСИЧКИ ГАРАНЦИИ ОТ ВСЯКАКЪВ ВИД, ИЗРИЧНИ ИЛИ ПОДРАЗБИРАЩИ СЕ, ВКЛЮЧИТЕЛНО, НО НЕ САМО, ПОДРАЗБИРАЩИТЕ СЕ ГАРАНЦИИ ЗА ПРОДАВАЕМОСТ, ГОДНОСТ ЗА ОПРЕДЕЛЕНА ЦЕЛ И НЕНАРУШАВАНЕ НА ПРАВА. HOT GROUP AG ИЗРИЧНО СЕ ОТКАЗВА ОТ ВСЯКАКВА ОТГОВОРНОСТ ЗА ДЕЙСТВИЯ, ПРОИЗТИЧАЩИ ОТ УЧАСТИЕТО ВИ В ПРОГРАМАТА ИЛИ ИЗПОЛЗВАНЕТО НА НАГРАДАТА.
Заключителна бележка
Молим ви да спазвате принципите на отговорното оповестяване и да дадете на нашия екип по разработката разумен период от време, за да отговори и коригира подадения проблем, преди да го оповестите публично. Молим ви да общувате открито с нас по отношение на публикуването, за да сме съгласни с доклада и графика.
Много ви благодарим, наистина оценяваме усилията ви! Забавлявайте се с хакерството!