Vulnerability Disclosure Policy

Socialinsider - a Code Path SRL product

Socialinsider is committed to ensuring the security of its users by protecting their information. This policy gives security researchers guidelines for conducting vulnerability discovery activities and instructions on how to submit vulnerabilities to us.

توضح هذه السياسة الأنظمة وأنواع الأبحاث المشمولة تحت هذه السياسة، وطريقة إرسال تقارير الثغرات إلينا، والمدة التي نطلب من الباحثين الأمنيين الانتظار قبل الكشف العلني عن الثغرات. نشجعك على التواصل معنا للإبلاغ عن أي ثغرات محتملة في أنظمتنا.

إذا بذلت جهدًا حسن النية للالتزام بهذه السياسة أثناء بحثك الأمني، سنعتبر بحثك مصرحًا به وسنعمل معك على فهم المشكلة وحلها بسرعة. ولن توصي Socialinsider أو تتخذ إجراءً قانونيًا مرتبطًا ببحثك. إذا تم اتخاذ إجراء قانوني ضدك من طرف ثالث بسبب أنشطة وفقًا لهذه السياسة، سنوضح أن لديك هذا التصريح.

الإرشادات

وفقًا لهذه السياسة، يقصد بـ "البحث" الأنشطة التي تقوم بها كباحث أمني:

  • أبلغنا في أسرع وقت ممكن بعد اكتشاف أي مشكلة أمنية.
  • ابذل كل جهدك لتجنب انتهاك الخصوصية، أو إضعاف تجربة المستخدم، أو تعطيل أنظمة الإنتاج، أو تدمير أو التلاعب بالبيانات.
  • استخدم الثغرات فقط بالقدر الضروري لتأكيد وجودها. لا تستخدم الاستغلال لاختراق أو استخراج البيانات أو إنشاء وصول مستمر عبر سطر الأوامر أو الانتقال لأنظمة أخرى.
  • أعطنا وقتًا معقولًا لحل المشكلة قبل الكشف عنها علنًا.
  • لا ترسل عددًا كبيرًا من التقارير منخفضة الجودة.

لمساعدتنا في فهم التقارير، نوصي أن يتضمن البلاغ:

  • وصف مكان اكتشاف الثغرة والتأثير المحتمل لاستغلالها.
  • تقديم شرح تفصيلي للخطوات اللازمة لإعادة إنتاج الثغرة - لقطات الشاشة أو تسجيلات الفيديو تساعد كثيرًا.
  • كتابة البلاغ باللغة الإنجليزية.

بمجرد التأكد من وجود ثغرة أو عند مواجهة أي بيانات حساسة (بما في ذلك معلومات التعريف الشخصية أو المالية أو معلومات وحقوق ملكية أو أسرار تجارية لأي طرف)، يجب عليك إيقاف الاختبار فورًا، وإبلاغنا مباشرة، وعدم إفشاء هذه البيانات لأي طرف آخر.

الممارسات المحظورة

هذه أساليب الاختبار غير المصرح بها:

  • اختبارات حجب الخدمة (DoS أو DDoS) أو أي اختبارات تؤثر على وصول الأنظمة.
  • اختبارات الثغرات غير التقنية.

تنطبق هذه السياسة على الأنظمة والخدمات التالية:

  • https://www.socialinsider.io
  • https://app.socialinsider.io

أي خدمة لم يتم ذكرها صراحة أعلاه، مثل أي خدمات مرتبطة، تكون خارج نطاق هذه السياسة وغير مصرح باختبارها.
بالإضافة إلى ذلك، الثغرات التي يتم اكتشافها في أنظمة المزودين لدينا ليست ضمن نطاق هذه السياسة ويجب الإبلاغ عنها مباشرة للمزود وفقًا لسياسته في الإفصاح (إن وجدت).
إذا لم تكن متأكدًا إذا كان النظام ضمن النطاق أم لا، تواصل معنا عبر security@socialinsider.io قبل بدء البحث.

إذا كان هناك نظام معين خارج النطاق تعتقد أنه يستحق الاختبار، يرجى التواصل معنا لمناقشته أولاً. يمكن توسيع نطاق هذه السياسة مع الوقت.

الإبلاغ عن ثغرة

المعلومات المقدمة بموجب هذه السياسة ستُستخدم لأغراض دفاعية فقط، بهدف التخفيف أو معالجة الثغرات الأمنية.

إذا تضمنت نتائجك ثغرات جديدة تؤثر على جميع مستخدمي منتج أو خدمة وليس فقط Socialinsider، قد نشارك تقريرك مع أطراف ثالثة، حيث سيتم التعامل معه ضمن عملية الإفصاح المنسق عن الثغرات لديهم.

لن نشارك معلومات الاتصال الخاصة بك دون إذن صريح.
نقبل تقارير الثغرات عبر security@socialinsider.io. يمكنك إرسال التقارير بشكل مجهول.

عند مشاركتك لمعلومات الاتصال معنا، نلتزم بالتنسيق معك بأقصى قدر من الشفافية والسرعة الممكنة.

  • خلال ٧ أيام عمل، سنؤكد استلام تقريرك.
  • سنؤكد لك وجود الثغرة ونكون شفافين قدر الإمكان حول الإجراءات التي نتخذها أثناء عملية التصحيح.
  • سنبقى على تواصل معك حول القضايا المطروحة.