Политика раскрытия уязвимостей | OneSuite

Soobshchite ob uyazvimostyakh v sistemakh OneSuite

Vvedenie

V OneSuite informatsionnaya bezopasnost' yavlyaetsya vysshim prioritetom, i my stremisya zashchishchat' konfidentsial'nost', tselostnost' i dostupnost' nashikh sistem i dannykh. Nastoyashchaya politika predostavlyaet issledovatelyam v oblasti bezopasnosti chetkiye rukovodstva po provedeniyu issledovanij uyazvimostej i opisyvaet, kak mozhno otvetstvenno soobshchit' ob uyazvimostyakh.

Etot dokument opredelyaet, kakiye sistemy i tipy issledovanij okhrvatyvayutsya nastoyashchej politikoj, kak podavat' otchoty ob uyazvimostyakh i kakiye sroki my predlagaem dlya publichnogo raskrytiya.

My pooshchryaem issledovatelej v oblasti bezopasnosti soobshchat' ob uyazvimostyakh, kak opisano v nastoyashchej politike. Vashi usiliya pomogayut nam ustranit' potentsial'nye problemy i podderzhat' bezopasnost' ekosistemy OneSuite.

Avtorizatsiya

Esli vy dobrosovestno stremites' soblyudat' nastoyashchuyu politiku, OneSuite schitaet vashe issledovanie avtorizovannym. My budem rabotat' s vami dlya bystroyo ponimaniya i resheniya problemy i ne budem rekomendovat' ili iniciiovat' sudebnoe presledovanie v svyazi s vashim issledovaniem.

Esli tret'ya storona iniciuet sudebnoe presledovanie protiv vas za deyatel'nost', provedennuyu v sootvetstvii s nastoyashchej politikoj, OneSuite ob"yavit o dannoj avtorizatsii.

Rukovodstva

V ramkakh nastoyashchej politiki "issledovanie" otnositsya k deyatel'nosti, pri kotoroj vy:

  • Uvedomlyaete nas kak mozhno skoree posle obnaruzheniya real'noj ili potentsial'noj problemy bezopasnosti.
  • Provodite analiz tol'ko v predelakh opredelennoj oblasti primeneniya.
  • Izbegaete narushenij konfidentsial'nosti, ukhudsheniya pol'zovatel'skogo opyta, narusheniya raboty proizvodstvennykh sistem i unichtozheniya ili manipulirovaniya dannymi.
  • Ispol'zuete ekspljojty tol'ko v toj mere, v kotoroj eto neobkhodimo dlya podtverzhdeniya nalichiya uyazvimosti. Ne ispol'zujte ekspljojty dlya kompromitatsii ili izvlecheniya dannykh, polucheniya dostupa k komandnoj stroke ili perekhodov na drugie sistemy.
  • Predostavlyaete nam razumnyj srok dlya ustraneniya problemy do eyo publichnogo raskrytiya.
  • Izbegaete podachi bol'shogo kolichestva nizkokachestvennykh otchetov.

Kak tol'ko vy ustanovili nalichiye uyazvimosti ili obnaruzhili konfidentsial'nye dannye (vklyuchaya personal'nye dannye, finansovye dannye ili konfidentsial'nuyu informatsiyu ili kommercheskuyu tajnu lyuboj storony), vy dolzhny prekratit' testirovanie, nemedlenno uvedomit' nas i ne raskryvat' eti dannye komu-libo yeshchyo.

Oblast' primeneniya

Nastoyashchaya politika primenyaetsya k sleduyushchim sistemam i servisam:

  • *.onesuite.io

Voprosy vne oblasti primeneniya

Sleduyushchie voprosy schitayutsya ne vkhodyashchimi v oblast' primeneniya nastoyashchej politiki:

  • Testirovanie aktivov klientov OneSuite.
  • Gallyutsinatsii modelej.
  • Problemy moderatsii kontenta ili najma personala.
  • Praktiki bezopasnosti, smyagchyonnye drugimi sredstvami kontrolya (naprimer, otsutstvuyushchie zagolovki bezopasnosti).
  • Sotsial'naya inzheneriya, fishing i fizicheskie ataki.
  • Problemy, takie kak otsutstvuyushchie flagi fajlov cookie, CSRF nizkogo vozdejstviya (naprimer, CSRF vkhoda/vykhoda), poddelka kontenta ili trassirovka steka.
  • Uyazvimosti bez dokazuemogo vozdejstviya na bezopasnost'.
  • DOS/DDOS-ataki.
  • Injektsiya zagolovka khosta bez posledstvij.
  • Vykhodnye dannye skanerov, soobshcheniya ob oshibkakh servera (esli oni ne raskryvayut kriticheskuyu informatsiyu).
  • Otchety o ustarevshikh brauzerakh ili nekriticheskikh oshibkakh.

Vse servisy, ne ukazannye yavno v razdele "Oblast' primeneniya" vyshe, takie kak svyazannye servisy, isklyucheny iz oblasti primeneniya i ne avtorizovany dlya testirovaniya. Krome togo, uyazvimosti, obnaruzhennye v sistemakh nashikh postavshchikov, vykkhodyat za ramki nastoyashchej politiki i dolzhny soobshchat'sya neposredstvenno postavshchiku v sootvetstvii s ego politikoj raskrytiya (esli takaya imeetsya). Esli vy ne uvereny, vkhodit li sistema v oblast' primeneniya, svyazhites' s nami po adresu [email protected] pered nachalom issledovaniya.

Priznaniye

Khotya OneSuite v nastoyashchee vremya ne predlagaet denezhnoe voznagrazhdenie, my tsenim vash vklad. V kachestve znaka nashej blagodarnosti my otmetim vashu pomoshch' na nashej stranitse priznaniya raskrytiya bezopasnosti, esli vy ne predpochitaete ostavat'sya anonimnym. My rabotaem nad vnedreniyem programmy bug bounty dlya obespecheniya denezhnogo voznagrazhdeniya v budushchem.

Soobshchenie ob uyazvimosti

Informatsiya, predostavlennaya v sootvetstvii s nastoyashchej politikoj, budet ispol'zovat'sya isklyuchitel'no v tselyakh zashchity. Esli vashi nakhodki vyyavyat uyazvimosti, zatragivayushchiye shirokoe soobshchestvo pol'zovatelej, my mozhem podelitsya vashim otchetom s Agentstvom po kiberbezopasnosti i zashchite infrastruktury (CISA). My ne budem raskryvat' vashe imya ili kontaktnuyu informatsiyu bez vashego razresheniya.

Chto my khoteli by uvidet'

Dlya pomoshchi nam v effektivnoj sortirovke i prioritizatsii zayavok, pozhalujsta, ukazhite sleduyushchee:

  • Mestopolozhenie i potentsial'noe vozdejstvie uyazvimosti.
  • Podrobnoe opisanie shagov, neobkhodimykh dlya vosproizvedeniya uyazvimosti (naprimer, skripty proof-of-concept, snimki ekrana).
  • Otchety na anglijskom yazyke.

Chto vy mozhete ozhidat' ot nas

Esli vy predostavite svoi kontaktnye dannye, my obyazuemsya:

  • Podtverdit' poluchenie vashego otcheta v techenie 14 rabochikh dnej.
  • Podtverdit' nalichiye uyazvimosti i predostavit' informatsiyu o nashem protsesse ustraneniya, vklyuchaya vozmozhnye zaderzhki.

Obratite vnimanie, chto OneSuite ne predlagaet kompensatsiyu za predstavlennye uyazvimosti. Podavaya otchyot, vy otkazyvayetes' ot lyubykh trebovanij o kompensatsii.

Voprosy

Po voprosam ili predlozheniyam otnositel'no nastoyashchej politiki svyazhites' s nami po adresu [email protected].

Posledneye obnovlenie: November 12, 2024