Programul Bug Bounty
Ne-am angajat să ne protejăm comunitatea și am stabilit un program de securitate pentru ca utilizatorii să raporteze probleme legate de securitate pe site-ul nostru.
Dacă credeți că ați descoperit o vulnerabilitate sau o problemă și doriți să participați la programul nostru, vă rugăm să ne furnizați o descriere detaliată a problemei, inclusiv măsurile pe care le putem lua pentru a reproduce problema și/sau o dovadă de concept.
Dacă trimiteți un raport, vă rugăm să acordați o perioadă de timp rezonabilă pentru ca echipa noastră să vă răspundă la raport și să rezolve problema. Apreciem foarte mult eforturile dvs. de a ne proteja comunitatea și putem recompensa participanții pentru ajutorul lor. Toate rapoartele sunt supuse termenilor și condițiilor programului nostru stabilite mai jos și termenilor și condițiilor de serviciu disponibile pe site.
Domeniul de aplicare
Salutăm rapoartele privind orice probleme sau vulnerabilități legate de securitate pe care le găsiți pe site-ul nostru web. Cu toate acestea, vă rugăm să nu recurgeți la phishing, spamming sau alte metode dubioase care ar putea hărțui utilizatorii noștri sau compromite datele acestora, ar putea genera un trafic semnificativ sau ar putea cauza întreruperi pe site-ul nostru. Este permisă utilizarea de instrumente automate de scanare a securității, atât timp cât acestea nu creează probleme.
Bounty
Recompensa minimă este de 100 de dolari pentru încălcări ale securității. Recompensa depinde de gravitatea breșei de securitate. Problemele care nu au impact asupra securității nu sunt eligibile pentru recompensă, dar sunt totuși binevenite și vor fi tratate ca orice alt raport.
Eligibilitate
- Trebuie să fiți primul care raportează vulnerabilitatea.
- Nu aveți acces la datele altor utilizatori și folosiți doar conturile create de dumneavoastră.
- Nu trebuie să dezvăluiți public vulnerabilitatea până când nu o rezolvăm.
- Veți furniza o dovadă de concept funcțional care exploatează vulnerabilitatea.
- Raportul de vulnerabilitate va fi criptat folosind PGP (a se vedea mai jos pentru detalii; a se vedea: Contactați-ne).
Excludere
Înregistrare/deînregistrare CSRF
DDoS
Inginerie socială la clienții sau angajații HOT Group AG
Self-XSS (avem nevoie de dovada modului în care XSS poate fi folosit pentru a ataca un alt utilizator Algolia)
Nerespectarea limitelor de rată
Raportul privind instrumentele și scanările automate
Vulnerabilități în ceea ce privește trimiterea de mesaje spam sau neautorizate
Bug-uri în software terță parte
Opțiuni pentru cadrul X legate de
Legate de HSTS
DNSSEC
Lipsa antetelor de securitate care nu conduc direct la o vulnerabilitate
Atacuri fizice asupra infrastructurii
Atacuri teoretice
Încălcarea încrederii SSL/TLS
Compromiterea browserului/dispozitivului (de exemplu, partajarea unui computer, accesarea fizică a dispozitivului unui utilizator, ...).
Vulnerabilități care afectează doar utilizatorii de browsere și platforme învechite sau nepotrivite.
Politici de recuperare a parolelor și a conturilor, de exemplu, expirarea linkului de resetare sau complexitatea parolei
Vulnerabilități fără rezolvare din partea noastră (HEIST, ...)
Înregistrări DNS neactualizate care indică un sistem care nu ne aparține
Proprietate și stimulente
Orice raport pe care ni-l trimiteți devine proprietatea noastră și nu suntem obligați să răspundem la niciun raport. Cu toate acestea, dacă răspundem la un raport, este posibil, la discreția noastră, să vă oferim o compensație monetară sau nemonetară pentru a vă arăta aprecierea noastră pentru ajutorul dumneavoastră. Sunteți responsabil pentru toate taxele și orice cheltuieli, costuri sau comisioane asociate cu participarea dumneavoastră la Program și la orice recompensă.
Declarații de renunțare la garanție
RECUNOAȘTEȚI ȘI SUNTEȚI DE ACORD ÎN MOD EXPRES CĂ: (1) PARTICIPAREA DVS. LA PROGRAM ȘI UTILIZAREA ORICĂROR RECOMPENSE SE FACE PE PROPRIUL DVS. RISC. HOT GROUP AG ÎȘI DECLINĂ ÎN MOD EXPRES TOATE GARANȚIILE DE ORICE FEL, EXPRESE SAU IMPLICITE, INCLUSIV, DAR FĂRĂ A SE LIMITA LA ACESTEA, GARANȚIILE IMPLICITE DE VANDABILITATE, ADECVARE LA UN ANUMIT SCOP ȘI DE NERESPECTARE A LEGII. HOT GROUP AG ÎȘI DECLINĂ ÎN MOD SPECIFIC ORICE RESPONSABILITATE PENTRU ORICE ACȚIUNI CARE REZULTĂ DIN PARTICIPAREA DUMNEAVOASTRĂ LA PROGRAM SAU DIN UTILIZAREA ORICĂRUI PREMIU.
Notă finală
Vă rugăm să respectați principiile de dezvăluire responsabilă și să acordați echipei noastre de dezvoltare un timp rezonabil pentru a răspunde și a corecta problema înainte de a o face publică. Vă solicităm să comunicați deschis cu noi cu privire la publicarea raportului, astfel încât să fim de acord cu privire la raport și la calendarul stabilit.
Vă mulțumim foarte mult, apreciem cu adevărat eforturile dumneavoastră! Distracție plăcută la hacking!
Dacă credeți că ați descoperit o vulnerabilitate sau o problemă și doriți să participați la programul nostru, vă rugăm să ne furnizați o descriere detaliată a problemei, inclusiv măsurile pe care le putem lua pentru a reproduce problema și/sau o dovadă de concept.
Dacă trimiteți un raport, vă rugăm să acordați o perioadă de timp rezonabilă pentru ca echipa noastră să vă răspundă la raport și să rezolve problema. Apreciem foarte mult eforturile dvs. de a ne proteja comunitatea și putem recompensa participanții pentru ajutorul lor. Toate rapoartele sunt supuse termenilor și condițiilor programului nostru stabilite mai jos și termenilor și condițiilor de serviciu disponibile pe site.
Domeniul de aplicare
Salutăm rapoartele privind orice probleme sau vulnerabilități legate de securitate pe care le găsiți pe site-ul nostru web. Cu toate acestea, vă rugăm să nu recurgeți la phishing, spamming sau alte metode dubioase care ar putea hărțui utilizatorii noștri sau compromite datele acestora, ar putea genera un trafic semnificativ sau ar putea cauza întreruperi pe site-ul nostru. Este permisă utilizarea de instrumente automate de scanare a securității, atât timp cât acestea nu creează probleme.
Bounty
Recompensa minimă este de 100 de dolari pentru încălcări ale securității. Recompensa depinde de gravitatea breșei de securitate. Problemele care nu au impact asupra securității nu sunt eligibile pentru recompensă, dar sunt totuși binevenite și vor fi tratate ca orice alt raport.
Eligibilitate
- Trebuie să fiți primul care raportează vulnerabilitatea.
- Nu aveți acces la datele altor utilizatori și folosiți doar conturile create de dumneavoastră.
- Nu trebuie să dezvăluiți public vulnerabilitatea până când nu o rezolvăm.
- Veți furniza o dovadă de concept funcțional care exploatează vulnerabilitatea.
- Raportul de vulnerabilitate va fi criptat folosind PGP (a se vedea mai jos pentru detalii; a se vedea: Contactați-ne).
Excludere
Înregistrare/deînregistrare CSRF
DDoS
Inginerie socială la clienții sau angajații HOT Group AG
Self-XSS (avem nevoie de dovada modului în care XSS poate fi folosit pentru a ataca un alt utilizator Algolia)
Nerespectarea limitelor de rată
Raportul privind instrumentele și scanările automate
Vulnerabilități în ceea ce privește trimiterea de mesaje spam sau neautorizate
Bug-uri în software terță parte
Opțiuni pentru cadrul X legate de
Legate de HSTS
DNSSEC
Lipsa antetelor de securitate care nu conduc direct la o vulnerabilitate
Atacuri fizice asupra infrastructurii
Atacuri teoretice
Încălcarea încrederii SSL/TLS
Compromiterea browserului/dispozitivului (de exemplu, partajarea unui computer, accesarea fizică a dispozitivului unui utilizator, ...).
Vulnerabilități care afectează doar utilizatorii de browsere și platforme învechite sau nepotrivite.
Politici de recuperare a parolelor și a conturilor, de exemplu, expirarea linkului de resetare sau complexitatea parolei
Vulnerabilități fără rezolvare din partea noastră (HEIST, ...)
Înregistrări DNS neactualizate care indică un sistem care nu ne aparține
Proprietate și stimulente
Orice raport pe care ni-l trimiteți devine proprietatea noastră și nu suntem obligați să răspundem la niciun raport. Cu toate acestea, dacă răspundem la un raport, este posibil, la discreția noastră, să vă oferim o compensație monetară sau nemonetară pentru a vă arăta aprecierea noastră pentru ajutorul dumneavoastră. Sunteți responsabil pentru toate taxele și orice cheltuieli, costuri sau comisioane asociate cu participarea dumneavoastră la Program și la orice recompensă.
Declarații de renunțare la garanție
RECUNOAȘTEȚI ȘI SUNTEȚI DE ACORD ÎN MOD EXPRES CĂ: (1) PARTICIPAREA DVS. LA PROGRAM ȘI UTILIZAREA ORICĂROR RECOMPENSE SE FACE PE PROPRIUL DVS. RISC. HOT GROUP AG ÎȘI DECLINĂ ÎN MOD EXPRES TOATE GARANȚIILE DE ORICE FEL, EXPRESE SAU IMPLICITE, INCLUSIV, DAR FĂRĂ A SE LIMITA LA ACESTEA, GARANȚIILE IMPLICITE DE VANDABILITATE, ADECVARE LA UN ANUMIT SCOP ȘI DE NERESPECTARE A LEGII. HOT GROUP AG ÎȘI DECLINĂ ÎN MOD SPECIFIC ORICE RESPONSABILITATE PENTRU ORICE ACȚIUNI CARE REZULTĂ DIN PARTICIPAREA DUMNEAVOASTRĂ LA PROGRAM SAU DIN UTILIZAREA ORICĂRUI PREMIU.
Notă finală
Vă rugăm să respectați principiile de dezvăluire responsabilă și să acordați echipei noastre de dezvoltare un timp rezonabil pentru a răspunde și a corecta problema înainte de a o face publică. Vă solicităm să comunicați deschis cu noi cu privire la publicarea raportului, astfel încât să fim de acord cu privire la raport și la calendarul stabilit.
Vă mulțumim foarte mult, apreciem cu adevărat eforturile dumneavoastră! Distracție plăcută la hacking!