Politica de divulgare a vulnerabilităților.

Socialinsider - un produs al Code Path SRL

Socialinsider se angajează să asigure securitatea utilizatorilor săi prin protejarea informațiilor lor. Această politică oferă cercetătorilor în securitate ghiduri pentru activități de descoperire a vulnerabilităților și instrucțiuni despre cum să ne raporteze vulnerabilitățile.

Această politică descrie sistemele și tipurile de cercetare acoperite, modul de trimitere a rapoartelor de vulnerabilitate și perioada de așteptare înainte de divulgarea publică a vulnerabilităților. Îți încurajăm să ne contactezi pentru a raporta potențiale vulnerabilități în sistemele noastre.

Dacă depui eforturi de bună credință pentru a respecta această politică în timpul cercetării tale de securitate, vom considera cercetarea ta ca fiind autorizată și vom colabora cu tine pentru a înțelege și rezolva problema rapid, iar Socialinsider nu va recomanda sau iniția acțiuni legale legate de cercetarea ta. Dacă o acțiune legală este inițiată de un terț împotriva ta pentru activități realizate conform acestei politici, vom face această autorizare cunoscută.

Ghiduri

Sub această politică, „cercetare” înseamnă activități în care tu, ca cercetător de securitate:

  • Ne notifici cât mai curând posibil după ce descoperi o problemă de securitate.
  • Faci tot posibilul pentru a evita încălcarea confidențialității, degradarea experienței utilizatorului, perturbarea sistemelor de producție și distrugerea sau manipularea datelor.
  • Folosești exploits doar în măsura necesară pentru a confirma prezența unei vulnerabilități. Nu folosi exploit pentru a compromite sau exfiltra date, pentru a stabili acces persistent la linia de comandă sau pentru a pivota către alte sisteme.
  • Ne oferi un interval de timp rezonabil pentru a rezolva problema înainte de a o face publică.
  • Nu trimite un volum mare de rapoarte de calitate slabă.

Pentru a ne ajuta să înțelegem rapoartele, îți recomandăm ca trimiterea ta să:

  • Descrie locația în care a fost descoperită vulnerabilitatea și impactul potențial al exploatării.
  • Oferă o descriere detaliată a pașilor necesari pentru a reproduce vulnerabilitatea - capturi de ecran sau înregistrări video sunt utile.
  • Scrie trimiterea în limba engleză.

Odată ce stabilești că există o vulnerabilitate sau întâlnești date sensibile (inclusiv informații personale identificabile, informații financiare sau informații proprietare sau secrete comerciale ale oricărei părți), trebuie să oprești testul, să ne notifici imediat și să nu divulgi aceste date altora.

Practici interzise

Următoarele metode de testare nu sunt autorizate:

  • Testele de denial of service (DoS sau DDoS) sau alte teste care afectează accesul la sisteme
  • Testarea vulnerabilităților non-tehnice

Această politică se aplică următoarelor sisteme și servicii:

  • https://www.socialinsider.io
  • https://app.socialinsider.io

Orice serviciu care nu este menționat expres mai sus, cum ar fi serviciile conectate, sunt excluse din scop și nu sunt autorizate pentru testare.
De asemenea, vulnerabilitățile găsite în sistemele furnizorilor noștri nu fac parte din scopul acestei politici și trebuie raportate direct furnizorului conform politicii lor de divulgare (dacă există).
Dacă nu ești sigur dacă un sistem este în scop sau nu, contactează-ne la [email protected] înainte de a începe cercetarea ta.

Dacă există un sistem în afara scopului pe care îl consideri merituos pentru testare, te rugăm să ne contactezi mai întâi pentru a discuta despre el. Scopul acestei politici poate fi extins în timp.

Raportarea unei vulnerabilități

Informațiile trimise în cadrul acestei politici vor fi folosite exclusiv în scopuri defensive – pentru a atenua sau remedia vulnerabilitățile.

Dacă descoperirile tale includ vulnerabilități nou descoperite care afectează toți utilizatorii unui produs sau serviciu și nu doar Socialinsider, este posibil să împărtășim raportul tău cu terți, unde va fi gestionat conform procesului lor coordonat de divulgare a vulnerabilităților.

Nu vom împărtăși informațiile tale de contact fără permisiunea expresă.
Acceptăm rapoarte de vulnerabilitate la [email protected]. Rapoartele pot fi trimise anonim.

Când alegi să ne împărtășești informațiile de contact, ne angajăm să colaborăm cu tine cât mai deschis și rapid posibil.

  • În 7 zile lucrătoare, vom confirma primirea raportului tău.
  • Vom confirma existența vulnerabilității și vom fi cât mai transparenți despre pașii pe care îi facem în procesul de remediere.
  • Vom menține o conversație despre probleme.