Politica de divulgare a vulnerabilităților

Socialinsider - un produs Code Path SRL

Socialinsider se angajează să asigure securitatea utilizatorilor prin protejarea informațiilor lor. Această politică oferă cercetătorilor în securitate ghiduri pentru descoperirea vulnerabilităților și instrucțiuni despre cum poți trimite vulnerabilități către noi.

Această politică descrie ce sisteme și tipuri de cercetare sunt acoperite, cum poți trimite rapoarte de vulnerabilitate și cât timp te rugăm să aștepți înainte de a face publice aceste vulnerabilități. Îți recomandăm să ne contactezi pentru a raporta potențiale vulnerabilități în sistemele noastre.

Dacă depui eforturi oneste pentru a respecta această politică în timpul cercetării de securitate, vom considera activitatea ta autorizată și vom colabora cu tine pentru a înțelege și rezolva rapid problema. Socialinsider nu va recomanda sau iniția acțiuni legale legate de cercetarea ta. Dacă un terț începe acțiuni legale împotriva ta pentru activități desfășurate conform acestei politici, vom face cunoscută această autorizare.

Ghiduri

În cadrul acestei politici, „cercetare” înseamnă activități în care tu, ca cercetător în securitate:

  • Anunță-ne cât mai curând după ce descoperi o problemă de securitate.
  • Fă tot posibilul să eviți încălcările de confidențialitate, scăderea calității experienței utilizatorilor, întreruperea sistemelor de producție și distrugerea sau manipularea datelor.
  • Folosește exploit-uri doar atât cât este necesar pentru a confirma existența unei vulnerabilități. Nu folosi exploiturile pentru a compromite sau exfiltra date, a crea acces persistent la linia de comandă sau pentru a te deplasa spre alte sisteme.
  • Oferă-ne suficient timp să rezolvăm problema înainte de a o face publică.
  • Nu trimite un volum mare de rapoarte de calitate slabă.

Ca să ne ajuți să înțelegem rapoartele, îți recomandăm ca trimiterea ta:

  • Să descrie locul unde a fost descoperită vulnerabilitatea și impactul potențial al exploatării.
  • Să ofere o descriere detaliată a pașilor necesari pentru a reproduce vulnerabilitatea – sunt utile capturile de ecran sau filmările video.
  • Scrie trimiterea în engleză

După ce ai stabilit că există o vulnerabilitate sau ai descoperit date sensibile (inclusiv informații personale, financiare sau secrete comerciale ale oricărei părți), oprește imediat testul, anunță-ne și nu dezvălui aceste date altcuiva.

Practici interzise

Următoarele metode de testare nu sunt autorizate:

  • Testări de tip denial of service (DoS sau DDoS) sau alte teste care afectează accesul la sisteme
  • Testare non-tehnică a vulnerabilităților

Această politică se aplică următoarelor sisteme și servicii:

  • https://www.socialinsider.io
  • https://app.socialinsider.io

Orice serviciu care nu este menționat explicit mai sus, inclusiv orice servicii conectate, este exclus din scopul acestei politici și nu este autorizat pentru testare.
De asemenea, vulnerabilitățile descoperite în sistemele furnizorilor noștri nu intră în această politică și trebuie raportate direct furnizorului, conform politicii lor de divulgare (dacă există).
Dacă nu ești sigur dacă un sistem intră sau nu în domeniu, contactează-ne la security@socialinsider.io înainte să începi testarea.

Dacă există un sistem care nu este în scop dar crezi că merită testat, contactează-ne înainte să faci orice testare. Scopul acestei politici poate fi extins în timp.

Raportează o vulnerabilitate

Informațiile trimise în baza acestei politici vor fi folosite doar în scop defensiv – pentru a reduce sau remedia vulnerabilitățile.

Dacă descoperirile tale includ vulnerabilități noi care afectează toți utilizatorii unui produs sau serviciu, nu doar Socialinsider, putem distribui raportul tău către terți. Raportul va fi gestionat conform procesului lor de divulgare coordonată a vulnerabilităților.

Nu vom distribui datele tale de contact fără permisiune explicită.
Acceptăm rapoarte despre vulnerabilități la security@socialinsider.io. Poți trimite rapoartele anonim.

Dacă alegi să ne oferi datele tale de contact, ne angajăm să colaborăm cu tine deschis și rapid.

  • În 7 zile lucrătoare, confirmăm primirea raportului tău.
  • Îți confirmăm existența vulnerabilității și îți spunem transparent ce pași urmăm în procesul de remediere.
  • Păstrăm legătura cu tine pe tot parcursul investigației.