Vulnerability Disclosure Policy

Socialinsider - un produs Code Path SRL

Socialinsider se angajează să asigure securitatea utilizatorilor prin protejarea informațiilor lor. Această politică oferă cercetătorilor în securitate ghiduri pentru descoperirea vulnerabilităților și instrucțiuni despre cum să ne raportezi vulnerabilitățile.

Această politică explică ce sisteme și tipuri de cercetare sunt acoperite, cum ne poți trimite rapoarte de vulnerabilitate și cât timp le cerem cercetătorilor de securitate să aștepte înainte de a face publice aceste vulnerabilități. Te încurajăm să ne contactezi pentru a raporta potențiale vulnerabilități din sistemele noastre.

Dacă depui un efort de bună credință să respecți această politică în cercetarea ta de securitate, vom considera demersul tău autorizat și vom colabora cu tine ca să înțelegem și să rezolvăm rapid problema. Socialinsider nu va recomanda și nu va demara acțiuni legale legate de această cercetare. Dacă un terț începe acțiuni legale împotriva ta pentru activități realizate conform politicii, vom comunica această autorizare.

Guidelines

Conform acestei politici, „cercetare” înseamnă activități în care tu, ca cercetător în securitate:

  • Anunță-ne cât mai repede după ce descoperi orice problemă de securitate.
  • Fă tot posibilul să eviți încălcări ale confidențialității, degradarea experienței utilizatorului, întreruperi ale sistemelor de producție și distrugerea sau manipularea datelor.
  • Folosește exploit-uri doar atât cât e nevoie pentru a confirma existența unei vulnerabilități. Nu folosi un exploit pentru a compromite sau extrage date, a stabili acces persistent la linia de comandă sau pentru a pivota spre alte sisteme.
  • Oferă-ne timp rezonabil să remediem problema înainte de a o divulga public.
  • Nu trimite un volum mare de rapoarte de calitate slabă.

Pentru a ne ajuta să înțelegem rapoartele îți recomandăm ca trimiterea ta să:

  • Descrie locația unde a fost descoperită vulnerabilitatea și impactul potențial al exploatării.
  • Oferă o descriere detaliată a pașilor necesari pentru a reproduce vulnerabilitatea - capturile de ecran sau înregistrările video sunt utile.
  • Scrie raportul în engleză

Dacă ai constatat că există o vulnerabilitate sau întâlnești orice date sensibile (inclusiv informații personale, financiare sau date confidențiale ori secrete comerciale ale oricărei părți), trebuie să oprești imediat testarea, să ne anunți de urgență și să nu dezvălui aceste date nimănui.

Practici interzise

Următoarele metode de testare nu sunt autorizate:

  • Teste de tip denial of service (DoS sau DDoS) sau alte teste care împiedică accesul la sisteme
  • Testare de vulnerabilitate non-tehnică

Această politică se aplică următoarelor sisteme și servicii:

  • https://www.socialinsider.io
  • https://app.socialinsider.io

Orice serviciu care nu este menționat mai sus, cum ar fi serviciile conectate, este exclus din scop și nu este autorizat pentru testare.
De asemenea, vulnerabilitățile descoperite în sistemele furnizorilor noștri nu intră sub incidența acestei politici și trebuie raportate direct furnizorului, conform politicii lor de divulgare (dacă există).
Dacă nu ești sigur dacă un sistem este în scop sau nu, contactează-ne la security@socialinsider.io înainte să începi cercetarea.

Dacă există un sistem care nu intră în scopul acestei politici și consideri că merită testat, contactează-ne înainte să faci orice testare. Scopul acestei politici poate fi extins în timp.

Raportează o vulnerabilitate

Informațiile trimise conform acestei politici vor fi folosite doar în scopuri defensive – pentru a reduce sau remedia vulnerabilitățile.

Dacă descoperirile tale includ vulnerabilități noi care afectează toți utilizatorii unui produs sau serviciu, nu doar Socialinsider, raportul tău poate fi transmis unor terți. Acesta va fi gestionat conform procesului lor de divulgare coordonată a vulnerabilităților.

Nu vom partaja informațiile tale de contact fără permisiunea ta explicită.
Acceptăm rapoarte de vulnerabilitate la adresa security@socialinsider.io. Poți trimite rapoartele anonim.

Dacă alegi să ne oferi informațiile tale de contact, ne angajăm să colaborăm cu tine cât mai deschis și rapid.

  • În maximum 7 zile lucrătoare îți confirmăm primirea raportului.
  • Iți confirmăm existența vulnerabilității și comunicăm transparent ce pași urmăm pentru remediere
  • Păstrăm legătura cu tine pe tot parcursul procesului.