Polityka odpowiedzialnego ujawniania informacji

Informacje na tej stronie są przeznaczone dla badaczy bezpieczeństwa zainteresowanych zgłaszaniem luk w zabezpieczeniach do zespołu ds. bezpieczeństwa firmy Transporeon. Jeżeli mają Państwo pytania dotyczące bezpieczeństwa, hasła lub konta, prosimy o kontakt z nami za pomocą standardowych kanałów pomocy.

Transporeon regularnie aktualizuje swoją politykę odpowiedzialnego ujawniania informacji z perspektywy prawnej i operacyjnej.

Bezpieczeństwo jest podstawą naszych wartości i doceniamy wkład badaczy bezpieczeństwa działających w dobrej wierze, którzy pomagają nam utrzymać wysoki standard bezpieczeństwa i prywatności naszych użytkowników. Obejmuje to promowanie odpowiedzialnego badania i ujawniania luk w zabezpieczeniach. Niniejsze zasady określają naszą definicję dobrej wiary w kontekście wyszukiwania i zgłaszania luk, jak również sposób postępowania ze zgłoszeniami.

Jak skontaktować się z nami

Naszym oficjalnym kanałem komunikacji jest formularz. Prosimy kliknąć przycisk „Zgłoś lukę” aby zgłosić problem. Problemy są rozwiązywane przez analityka bezpieczeństwa, a następnie przekazywane do odpowiedniego zespołu.

Zgłoś lukę

Prosimy o napisanie zgłoszenia w języku angielskim lub niemieckim i dostarczenie nam informacji wystarczających do odnalezienia luki. Prosimy o podanie danych kontaktowych, abyśmy mogli się z Państwem skontaktować. Jeżeli nie Nie jest to obowiązkowe, ale może utrudnić nam zbadanie i usunięcie luki.

Safe Harbor

Prowadząc badania podatności na ataki zgodnie z niniejszymi zasadami, uważamy te badania za dozwolone, zgodne z prawem, pomocne dla ogólnego bezpieczeństwa Internetu oraz prowadzone w dobrej wierze.

Od użytkownika oczekuje się, jak zawsze, przestrzegania wszystkich obowiązujących przepisów prawa. W przypadku jakichkolwiek wątpliwości lub niepewności, czy prowadzone przez użytkownika badania bezpieczeństwa są zgodne z niniejszymi zasadami, prosimy o przesłanie raportu za pośrednictwem naszego oficjalnego kanału przed podjęciem dalszych działań.

Zasady ogólne

Aby zachęcić do badania luk w zabezpieczeniach i uniknąć pomyłek między hakerstwem w dobrej wierze a złośliwym atakiem, prosimy:

  • podstępować zgodnie z zasadami; obejmuje to przestrzeganie niniejszych zasad, jak również wszelkich innych stosownych umów;
  • nie naruszać prywatności innych osób, przepisów o ochronie danych osobowych, nie zakłócać pracy naszych systemów, nie niszczyć danych i/lub nie szkodzić doświadczeniu użytkownika;
  • przeprowadzać testy wyłącznie na systemach objętych zakresem i szanować systemy i działania, które są poza zakresem;
  • korzystać wyłącznie z kont lub urządzeń należących do użytkownika lub za wyraźną zgodą ich właściciela;
  • podejmować wysiłki w dobrej wierze, aby uniknąć przerwania lub pogorszenia jakości naszych usług;
  • jeżeli luka w zabezpieczeniach umożliwia niezamierzony dostęp do danych, należy ograniczyć liczbę dostępnych danych do minimum wymaganego do skutecznego zademonstrowania weryfikacji poprawności działania;
  • w przypadku natrafienia podczas testów na dane użytkownika, takie jak dane osobowe, informacje o stanie zdrowia, dane kart kredytowych lub informacje zastrzeżone, należy natychmiast przerwać testowanie i zgłosić to;
  • nie należy podejmować prób uzyskania fizycznego dostępu do własności Transporeon lub centrów danych;
  • nie należy próbować przeprowadzać blokady usług (ang. Denial of Service);
  • inżynieria społeczna (np. phishing, vishing, smishing) jest zabroniona;
  • niezwłocznie zgłaszać wszelkie wykryte luki w zabezpieczeniach;
  • nie należy podejmować prób szantażu poprzez żądanie finansowe przed udostępnieniem informacji na temat luki;
  • korzystać wyłącznie z oficjalnych kanałów w celu omówienia z nami informacji o lukach.

Ujawnianie

Zabrania się publicznego omawiania lub publikowania jakichkolwiek luk w zabezpieczeniach przed ich usunięciem i uzyskaniem od nas wyraźnej zgody na takie działanie.

Zakres

Niniejsza polityka obejmuje wszystkie usługi, produkty i właściwości internetowe firmy Transporeon.

Uwaga! Większość zgłoszeń, które otrzymujemy, ma niewielki lub żaden wpływ na bezpieczeństwo lub są one już nam znane. Aby uniknąć rozczarowujących doświadczeń podczas kontaktu z nami, prosimy o poświęcenie chwili i zastanowienie się, czy problem, który chcesz zgłosić, wiąże się z realistycznym prawdopodobieństwem ataku.

W szczególności prosimy nie zgłaszać spraw dotyczących:

  • teoretycznych luk bez żadnego dowodu lub wykazania rzeczywistej obecności luki;
  • wyników pochodzących z automatycznych narzędzi bez przedstawienia Weryfikacji koncepcji (ang. Proof of Concept);
  • luk wymagających MITM, czyli fizycznego dostępu do przeglądarki użytkownika, smartfona lub konta e-mail, jak również błędów w smartfonach zrootowanych lub jailbrokowanych;
  • brakujących lub słabych nagłówków HTTP związanych z bezpieczeństwem;
  • ujawnienia danych niewrażliwych, na przykład banerów z wersjami serwerów.
  • problemów związanych ze spoofingiem treści i wstrzykiwaniem tekstu bez wskazywania wektora ataku/bez możliwości modyfikowania HTML/CSS;
  • ataku Cross-Site Request Forgery (CSRF) na nieuwierzytelnionych formularzach lub formularzach bez działań wrażliwych;
  • ataku Self-XSS;
  • nieprzestrzegania najlepszych praktyk dotyczących poczty elektronicznej (np. nieprawidłowe, niekompletne lub brakujące zapisy SPF/DKIM/DMARC, itp.)
  • wstrzykiwania nagłówka hosta, chyba że potwierdzono, że może to być wykorzystane w praktycznym ataku;
  • znanych wcześniej podatnych programów lub bibliotek bez działającej Weryfikacji koncepcji (ang. Proof of Concept);
  • ograniczenia prędkości lub problemów z atakiem brute force na punktach końcowych nie wymagających uwierzytelnienia;
  • odmowy usługi;
  • wstrzykiwania CSV/formuły;
  • exploitów opartych na technologii Flash;
  • ataku typu clickjacking na stronach bez działań wrażliwych.

Działania, których może oczekiwać od nas użytkownik:

Współpracując z nami zgodnie z niniejszymi zasadami, użytkownik może oczekiwać od nas:

  • rozszerzenia Safe Harbor na potrzeby badań użytkownika w zakresie podatności na zagrożenia, które są przeprowadzane zgodnie z niniejszymi zasadami;·       bezzwłocznego zgłaszania wszelkich wykrytych luk;
  • współpracy z użytkownikiem w celu zrozumienia i weryfikacji zgłoszenia, w tym wstępnej odpowiedzi na zgłoszenie w rozsądnym czasie;
  • podjęcia działań mających na celu usunięcie wykrytych luk w zabezpieczeniach w odpowiednim czasie;
  • powiadamianie o usunięciu luki, tak aby możliwe było ponowne przetestowanie jej i potwierdzenie, że została naprawiona.

Transporeon docenia wysiłki badaczy bezpieczeństwa w identyfikowaniu luk i współpracy z nami w celu zapewnienia bezpieczeństwa naszych klientów. Jesteśmy wdzięczni za to, że dokładają wszelkich starań, aby poprawić bezpieczeństwo i ochronę naszych produktów oraz całej społeczności internetowej.

© 2024 Transporeon GmbH