Vulnerability Disclosure Policy

Socialinsider - a Code Path SRL product

Socialinsider is committed to ensuring the security of its users by protecting their information. This policy gives security researchers guidelines for conducting vulnerability discovery activities and instructions on how to submit vulnerabilities to us.

توضح هذه السياسة الأنظمة وأنواع الأبحاث التي تشملها، وكيفية إرسال تقارير الثغرات إلينا، ومدة الانتظار المطلوبة من باحثي الأمن قبل الكشف العلني عن الثغرات. نشجعك على التواصل معنا للإبلاغ عن أي ثغرات محتملة في أنظمتنا.

إذا بذلت جهدًا حسن النية للامتثال لهذه السياسة خلال بحثك الأمني، سنعتبر بحثك مصرحًا به وسنعمل معك لفهم المشكلة وحلها بسرعة. لن توصي Socialinsider أو تتخذ أي إجراء قانوني يتعلق ببحثك. إذا بدأت جهة خارجية إجراء قانونيًا ضدك بسبب أنشطة تمت وفقًا لهذه السياسة، سنوضح هذا التصريح.

الإرشادات

في إطار هذه السياسة، يُقصد بـ"البحث" الأنشطة التي تقوم بها كباحث أمني:

  • أبلغنا بأسرع وقت ممكن بعد اكتشاف أي مشكلة أمنية.
  • ابذل كل جهد لتجنب انتهاك الخصوصية أو تدهور تجربة المستخدم أو تعطيل الأنظمة الإنتاجية أو تدمير أو التلاعب بالبيانات.
  • استخدم الثغرات فقط بالقدر اللازم للتأكد من وجود نقطة الضعف. لا تستخدم الثغرة لاختراق أو استخراج البيانات أو إنشاء وصول دائم عبر سطر الأوامر أو محاولة التحول إلى أنظمة أخرى باستخدام الثغرة.
  • أعطنا وقتًا معقولًا لمعالجة المشكلة قبل الكشف عنها علنًا.
  • لا ترسل تقارير منخفضة الجودة بكميات كبيرة.

لمساعدتنا في فهم التقارير، نوصي بأن يشمل تقديمك ما يلي:

  • وصف مكان اكتشاف الثغرة والتأثير المحتمل لاستغلالها.
  • تقديم وصف مفصل للخطوات اللازمة لإعادة إنتاج الثغرة - لقطات الشاشة أو تسجيلات الفيديو مفيدة.
  • كتابة التقديم باللغة الإنجليزية.

بمجرد التأكد من وجود ثغرة أو اكتشاف أي بيانات حساسة (بما في ذلك معلومات التعريف الشخصي، أو المعلومات المالية، أو المعلومات الحصرية أو الأسرار التجارية لأي طرف)، يجب عليك إيقاف الاختبار فورًا، وإبلاغنا على الفور، وعدم مشاركة هذه البيانات مع أي شخص آخر.

الممارسات المحظورة

طرق الاختبار التالية غير مصرح بها:

  • اختبارات حجب الخدمة (DoS أو DDoS) أو أي اختبارات تؤدي إلى تعطيل الوصول إلى الأنظمة
  • اختبارات الثغرات غير التقنية

تنطبق هذه السياسة على الأنظمة والخدمات التالية:

  • https://www.socialinsider.io
  • https://app.socialinsider.io

أي خدمة لم يُذكرها أعلاه بشكل صريح، بما في ذلك أي خدمات متصلة، مستثناة من النطاق وغير مسموح اختبارها.
بالإضافة إلى ذلك، الثغرات التي تُكتشف في أنظمة الموردين لدينا تقع خارج نطاق هذه السياسة ويجب الإبلاغ عنها مباشرةً إلى المورد بحسب سياسة الإفصاح الخاصة بهم (إن وجدت).
إذا لم تكن متأكدًا مما إذا كان النظام ضمن النطاق أم لا، تواصل معنا عبر security@socialinsider.io قبل بدء بحثك.

إذا كان هناك نظام خارج النطاق تعتقد أنه يستحق الاختبار، يرجى التواصل معنا لمناقشته أولًا. يمكن توسيع نطاق هذه السياسة بمرور الوقت.

الإبلاغ عن ثغرة أمنية

سيتم استخدام المعلومات المقدمة بموجب هذه السياسة لأغراض دفاعية فقط – للتخفيف أو تصحيح الثغرات الأمنية.

إذا تضمنت نتائجك ثغرات جديدة تؤثر على جميع مستخدمي منتج أو خدمة وليس فقط Socialinsider، قد نشارك تقريرك مع أطراف ثالثة، حيث سيتم التعامل معه ضمن عملية إفصاح منسقة للثغرات الأمنية لديهم.

لن نشارك معلومات الاتصال الخاصة بك دون إذن صريح.
نقبل تقارير الثغرات عبر security@socialinsider.io. يمكنك إرسال التقارير دون الإفصاح عن هويتك.

عندما تختار مشاركة معلومات الاتصال معنا، نلتزم بالتواصل معك بأقصى قدر من الشفافية والسرعة.

  • خلال ٧ أيام عمل سنؤكد استلام تقريرك.
  • سوف نؤكد لك وجود الثغرة ونكون شفافين قدر الإمكان بشأن الخطوات المتخذة أثناء عملية المعالجة.
  • سنستمر في الحوار حول المشكلات.