Atbildīga ievainojamību atklāšana
Eleving Group ir apņēmusies nodrošināt informācijas drošību un mūsu informācijas resursu aizsardzību pret kiberdraudiem. Mēs mudinām atbildīgi atklāt drošības ievainojamības, kā noteikts šajos noteikumos, kā arī aicinām visus drošības pētniekus ziņot par trūkumiem attiecībā uz drošību mūsu pakalpojumos un resursos.
Darbības joma
Šie noteikumi attiecas uz šādiem domēniem:
Izņēmums:
- autodiscover.primero.lv
- eleving.com/.env, eleving.com/.aws/config un eleving.com/.aws/credential (Mēs esam ieviesuši mānekļu failu izmantošanu, šeit nav derīgas informācijas)
Mēs sagaidām ziņojumus par tādām ievainojamībām, kā, piemēram, starpvietņu skriptēšana (XSS), SQL injekcijas, šifrēšanas trūkumi, attālinātu koda izpilde, autentifikācijas trūkumi utt.
Turpmāk norādītie testu veidi nav atļauti:
- tīkla pakalpojuma atteikuma (DoS, DDoS) testi;
- brutāla spēka uzbrukums, kas rada akreditācijas datu drošības politikas pārkāpumu;
- sociālā inženierija;
- fiziskās piekļuves pārbaude;
- jebkura cita netehniska ievainojamības pārbaude.
Likumīga nodošana atklātībai
Mēs pieņemam ziņojumus par ievainojamību iepriekš norādītajā darbības jomā un piekrītam labticīgi neveikt juridiskas darbības pret personām, kuras:
- drošības izpētes laikā ievēro šos noteikumus;
- iesaistās produktu un pakalpojumu testēšanā, nekaitējot mūsu sistēmām un datiem;
- neizpauž atklātās ievainojamības informācijas detaļas sabiedrībai, pirms savstarpēji saskaņota termiņa beigām.
Mēs paturam tiesības pieņemt vai noraidīt jebkādus ziņojumus par jebkādām ievainojamībām un rīkoties saskaņā ar mūsu iekšējiem noteikumiem un procedūrām.
Kā Jūs varat ziņot?
Ja uzskatāt, ka mūsu informācijas resursos esat atklājis ievainojamību, lūdzam sazināties ar mums, rakstot uz security@eleving.com un iekļaujot turpmāk norādīto informāciju:
- detalizēts ievainojamības apraksts;
- detalizēta informācija par ievainojamības izmantošanu;
- ja attiecināms, saite, ekrānuzņēmumi vai jebkura cita informācija, kas palīdz mums identificēt Jūsu atrasto ievainojamību.
Ko mēs no Jums sagaidām?
Lūdzam ņemt vērā, ka ievainojamības izpētes laikā ir ļoti svarīgi ievērot šos noteikumus:
- Jūs neizmantojat atklāto ievainojamību, lai piekļūtu vai mēģinātu piekļūt informācijai, kas Jums nepieder (tikai, lai pierādītu ievainojamības esamību);
- Jūs neizmantojat atklāto ievainojamību, lai dzēstu vai modificētu informāciju;
- Jūs laikus informējat mūs par ievainojamību un ļaujat mums to novērst, pirms tā nāk atklātībā.
Ko sagaidīt no mums?
Mēs nepiedāvājam finansiālu atlīdzību, bet, kad ievainojamība, par kuru ticis ziņots, tiks novērsta, mēs varam sniegt palīdzību un informāciju pētnieka publikācijai un veicināt viņa ieguldījumu, ja par to ir panākta savstarpēja vienošanās.