Programul Bug Bounty

Ne-am angajat să ne protejăm comunitatea și am stabilit un program de securitate pentru ca utilizatorii să raporteze probleme legate de securitate pe site-ul nostru.

Dacă credeți că ați descoperit o vulnerabilitate sau o problemă și doriți să participați la programul nostru, vă rugăm să ne furnizați o descriere detaliată a problemei, inclusiv măsurile pe care le putem lua pentru a reproduce problema și/sau o dovadă de concept.

Dacă trimiteți un raport, vă rugăm să acordați o perioadă de timp rezonabilă pentru ca echipa noastră să vă răspundă la raport și să rezolve problema. Apreciem foarte mult eforturile dvs. de a ne proteja comunitatea și putem recompensa participanții pentru ajutorul lor. Toate rapoartele sunt supuse termenilor și condițiilor programului nostru stabilite mai jos și termenilor și condițiilor de serviciu disponibile pe site.



Domeniul de aplicare

Salutăm rapoartele privind orice probleme sau vulnerabilități legate de securitate pe care le găsiți pe site-ul nostru web. Cu toate acestea, vă rugăm să nu recurgeți la phishing, spamming sau alte metode dubioase care ar putea hărțui utilizatorii noștri sau compromite datele acestora, ar putea genera un trafic semnificativ sau ar putea cauza întreruperi pe site-ul nostru. Este permisă utilizarea de instrumente automate de scanare a securității, atât timp cât acestea nu creează probleme.



Bounty

Recompensa minimă este de 100 de dolari pentru încălcări ale securității. Recompensa depinde de gravitatea breșei de securitate. Problemele care nu au impact asupra securității nu sunt eligibile pentru recompensă, dar sunt totuși binevenite și vor fi tratate ca orice alt raport.



Eligibilitate

- Trebuie să fiți primul care raportează vulnerabilitatea.

- Nu aveți acces la datele altor utilizatori și folosiți doar conturile create de dumneavoastră.

- Nu trebuie să dezvăluiți public vulnerabilitatea până când nu o rezolvăm.

- Veți furniza o dovadă de concept funcțional care exploatează vulnerabilitatea.

- Raportul de vulnerabilitate va fi criptat folosind PGP (a se vedea mai jos pentru detalii; a se vedea: Contactați-ne).



Excludere

Înregistrare/deînregistrare CSRF

DDoS

Inginerie socială la clienții sau angajații HOT Group AG

Self-XSS (avem nevoie de dovada modului în care XSS poate fi folosit pentru a ataca un alt utilizator Algolia)

Nerespectarea limitelor de rată

Raportul privind instrumentele și scanările automate

Vulnerabilități în ceea ce privește trimiterea de mesaje spam sau neautorizate

Bug-uri în software terță parte

Opțiuni pentru cadrul X legate de

Legate de HSTS

DNSSEC

Lipsa antetelor de securitate care nu conduc direct la o vulnerabilitate

Atacuri fizice asupra infrastructurii

Atacuri teoretice

Încălcarea încrederii SSL/TLS

Compromiterea browserului/dispozitivului (de exemplu, partajarea unui computer, accesarea fizică a dispozitivului unui utilizator, ...).

Vulnerabilități care afectează doar utilizatorii de browsere și platforme învechite sau nepotrivite.

Politici de recuperare a parolelor și a conturilor, de exemplu, expirarea linkului de resetare sau complexitatea parolei

Vulnerabilități fără rezolvare din partea noastră (HEIST, ...)

Înregistrări DNS neactualizate care indică un sistem care nu ne aparține



Proprietate și stimulente

Orice raport pe care ni-l trimiteți devine proprietatea noastră și nu suntem obligați să răspundem la niciun raport. Cu toate acestea, dacă răspundem la un raport, este posibil, la discreția noastră, să vă oferim o compensație monetară sau nemonetară pentru a vă arăta aprecierea noastră pentru ajutorul dumneavoastră. Sunteți responsabil pentru toate taxele și orice cheltuieli, costuri sau comisioane asociate cu participarea dumneavoastră la Program și la orice recompensă.



Declarații de renunțare la garanție

RECUNOAȘTEȚI ȘI SUNTEȚI DE ACORD ÎN MOD EXPRES CĂ: (1) PARTICIPAREA DVS. LA PROGRAM ȘI UTILIZAREA ORICĂROR RECOMPENSE SE FACE PE PROPRIUL DVS. RISC. HOT GROUP AG ÎȘI DECLINĂ ÎN MOD EXPRES TOATE GARANȚIILE DE ORICE FEL, EXPRESE SAU IMPLICITE, INCLUSIV, DAR FĂRĂ A SE LIMITA LA ACESTEA, GARANȚIILE IMPLICITE DE VANDABILITATE, ADECVARE LA UN ANUMIT SCOP ȘI DE NERESPECTARE A LEGII. HOT GROUP AG ÎȘI DECLINĂ ÎN MOD SPECIFIC ORICE RESPONSABILITATE PENTRU ORICE ACȚIUNI CARE REZULTĂ DIN PARTICIPAREA DUMNEAVOASTRĂ LA PROGRAM SAU DIN UTILIZAREA ORICĂRUI PREMIU.



Notă finală

Vă rugăm să respectați principiile de dezvăluire responsabilă și să acordați echipei noastre de dezvoltare un timp rezonabil pentru a răspunde și a corecta problema înainte de a o face publică. Vă solicităm să comunicați deschis cu noi cu privire la publicarea raportului, astfel încât să fim de acord cu privire la raport și la calendarul stabilit.



Vă mulțumim foarte mult, apreciem cu adevărat eforturile dumneavoastră! Distracție plăcută la hacking!