Bomdiu Logo

Πολιτική Αποκάλυψης Ευπαθειών Ασφαλείας

1. Εισαγωγή

Στη Bomdiu, παίρνουμε την ασφάλεια στα σοβαρά και εκτιμούμε τη συμβολή των ερευνητών ασφαλείας και της ευρύτερης κοινότητας ασφαλείας στη διατήρηση της ασφάλειας και της ακεραιότητας των συστημάτων μας. Αυτή η Πολιτική Αποκάλυψης Ευπαθειών περιγράφει τις οδηγίες για την αναφορά ευπαθειών ασφαλείας σε εμάς.

2. Πεδίο Εφαρμογής

Αυτή η πολιτική ισχύει για οποιεσδήποτε ευπάθειες ασφαλείας που εντοπίζονται στις δημόσια προσβάσιμες υπηρεσίες της Bomdiu, συμπεριλαμβανομένου του ιστότοπού μας, των API μας και οποιωνδήποτε άλλων συστημάτων που ανήκουν και λειτουργούν από τη Bomdiu.

Εκτός Πεδίου Εφαρμογής

Τα ακόλουθα θεωρούνται εκτός πεδίου εφαρμογής αυτής της πολιτικής:

  • Ευπάθειες σε υπηρεσίες ή εφαρμογές τρίτων που δεν βρίσκονται υπό τον άμεσο έλεγχο της Bomdiu.
  • Επιθέσεις κοινωνικής μηχανικής, συμπεριλαμβανομένου του phishing των υπαλλήλων ή των αναδόχων μας.
  • Φυσική ασφάλεια των γραφείων ή των κέντρων δεδομένων μας.
  • Αναφορές από αυτοματοποιημένους σαρωτές χωρίς απόδειξη της ιδέας (proof of concept) που να αποδεικνύει μια συγκεκριμένη ευπάθεια.
  • Επιθέσεις άρνησης υπηρεσίας όγκου (volumetric denial-of-service).

3. Οδηγίες Υπεύθυνης Αποκάλυψης

Ζητούμε από τους ερευνητές ασφαλείας να τηρούν τις ακόλουθες οδηγίες κατά την αναφορά ευπαθειών:

  • Ενεργείτε με καλή πίστη και αποφεύγετε την παραβίαση οποιωνδήποτε νόμων ή την παραβίαση οποιωνδήποτε δεδομένων.
  • Μην πραγματοποιείτε επιθέσεις που θα μπορούσαν να διαταράξουν τις υπηρεσίες μας, συμπεριλαμβανομένης της άρνησης υπηρεσίας (DoS), του spam ή της κοινωνικής μηχανικής.
  • Μην αποκτάτε πρόσβαση, μην τροποποιείτε ή μην διαγράφετε δεδομένα που δεν σας ανήκουν.
  • Παρέχετε μια σαφή και λεπτομερή αναφορά με βήματα για την αναπαραγωγή της ευπάθειας, συμπεριλαμβανομένης οποιασδήποτε σχετικής απόδειξης της ιδέας.
  • Αναφέρετε τις ευπάθειες άμεσα και δώστε μας εύλογο χρόνο για να διερευνήσουμε και να διορθώσουμε πριν από τη δημόσια αποκάλυψη.

4. Διαδικασία Αναφοράς

Εάν έχετε ανακαλύψει μια ευπάθεια ασφαλείας, παρακαλούμε να μας την αναφέρετε μέσω [email protected] με τις ακόλουθες λεπτομέρειες:

  • Μια περιγραφή της ευπάθειας.
  • Βήματα για την αναπαραγωγή του ζητήματος.
  • Πιθανές επιπτώσεις της ευπάθειας.
  • Οποιοδήποτε υποστηρικτικό υλικό (π.χ. στιγμιότυπα οθόνης, αρχεία καταγραφής, κώδικας απόδειξης της ιδέας).

Για ευαίσθητες πληροφορίες, σας ενθαρρύνουμε να κρυπτογραφήσετε την αναφορά σας. Το κλειδί PGP μας μπορεί να βρεθεί εδώ: https://keys.openpgp.org/vks/v1/by-fingerprint/17579243F23AAFD69EDEB5258BE31E6A811D063D

Στοχεύουμε να επιβεβαιώσουμε τη λήψη της αναφοράς σας εντός 2 εργάσιμων ημερών και να παρέχουμε μια αρχική αξιολόγηση εντός 5 εργάσιμων ημερών. Θα σας κρατάμε ενήμερους για την πρόοδό μας καθώς διερευνούμε και διορθώνουμε το ζήτημα.

5. Η Δέσμευσή Μας

Μόλις υποβάλετε μια αναφορά, δεσμευόμαστε στα ακόλουθα:

  • Θα επιβεβαιώσουμε άμεσα την αναφορά σας.
  • Θα συνεργαστούμε μαζί σας για να κατανοήσουμε και να επικυρώσουμε τα ευρήματά σας.
  • Θα λάβουμε εύλογα μέτρα για να διορθώσουμε την ευπάθεια εγκαίρως.
  • Θα διατηρήσουμε μια ανοιχτή γραμμή επικοινωνίας μαζί σας καθ' όλη τη διάρκεια της διαδικασίας.

6. Αναγνώριση

Η Bomdiu δεν προσφέρει οικονομικές ανταμοιβές ή αποζημίωση για αποκαλύψεις ευπαθειών ασφαλείας. Ωστόσο, εκτιμούμε βαθύτατα τη συμβολή των ερευνητών ασφαλείας. Μπορεί να προσφέρουμε δημόσια αναγνώριση για σημαντικές και υπεύθυνα αποκαλυφθείσες ευπάθειες, με την άδειά σας.

7. Νομικές Θεωρήσεις

Υποβάλλοντας μια αναφορά, συμφωνείτε να αποφύγετε οποιεσδήποτε παράνομες δραστηριότητες και να ακολουθήσετε πρακτικές ηθικής αποκάλυψης. Η Bomdiu δεν θα κινηθεί νομικά εναντίον ερευνητών που ενεργούν με καλή πίστη και συμμορφώνονται με αυτήν την πολιτική.

8. Συμπέρασμα

Εκτιμούμε τις προσπάθειες των ερευνητών ασφαλείας για να κάνουν τις υπηρεσίες της Bomdiu πιο ασφαλείς. Εάν έχετε οποιεσδήποτε ερωτήσεις σχετικά με αυτήν την πολιτική, επικοινωνήστε μαζί μας στο [email protected].

Σας ευχαριστούμε που μας βοηθάτε να διατηρήσουμε την ασφάλεια των συστημάτων μας.