Принципы ответственного раскрытия информации

Информация на этой странице предназначена для аналитиков в области информационной безопасности, заинтересованных в сообщении об уязвимостях таковой соответствующим специалистам Transporeon. Если вы являетесь клиентом и у вас есть вопрос о безопасности или проблема с паролем или учётной записью, пожалуйста, свяжитесь с нами через традиционные каналы поддержки.

Тransporeon регулярно пересматривает свою Политику ответственного раскрытия информации как с юридической, так и с операционной точек зрения.

Безопасность является основой наших убеждений,  и мы ценим мнения добросовестно действующих аналитиков в области информационной безопасности, которые помогают нам поддерживать высокие стандарты в области защиты и конфиденциальности информации для наших пользователей. Кроме того, это включает в себя поощрение ответственного исследования уязвимостей и уведомление о существовании таковых. В наших принципах изложено корпоративное определение добросовестности в контексте поиска и сообщения об уязвимостях, а также механизмы обработки ваших отчётов.

Как с нами связаться

Наш официальный канал связи - через форму. Пожалуйста, нажмите на кнопку «Сообщить об уязвимости» в правом нижнем углу и обозначьте проблему. Указанные проблемы будут рассмотрены аналитиком по безопасности, после чего переданы в соответствующую группу. 

Пожалуйста, напишите свой отчёт на английском или немецком языке с указанием достаточной информации для обнаружения уязвимости. Не забудьте указать свою контактную информацию, чтобы мы могли связаться с вами напрямую. Если вы не хотите, чтобы с вами связывались - это ваше право, но отказ может помешать нашей способности изучить уязвимость и устранить ее.

Зона безопасности

В соответствии с данными принципами, во время проведения исследований уязвимостей мы считаем эти исследования санкционированными, законными, полезными для общей безопасности Интернета и проведёнными добросовестно.

От вас, как и всегда, ожидается соблюдение всех соответствующих законов. Если в какой-то момент у вас возникли сомнения или вы не уверены, что ваши исследования в области безопасности соответствуют этим принципам, пожалуйста, прежде чем двигаться дальше, отправьте отчет через наш официальный канал.

Основополагающие правила

Чтобы стимулировать исследование уязвимостей и избежать путаницы между добросовестным хакингом и злонамеренной атакой, мы просим вас:

  • Следовать правилам. Это включает в себя соблюдение данных принципов, а также любых других соответствующих соглашений.
  • Не нарушать неприкосновенность частной жизни других лиц, правила защиты персональных данных, не нарушать работу наших систем, не уничтожать данные и (или) не наносить вред алгоритму взаимодействия с пользователем;
  • Проводите тестирование только тех систем, которые входят в сферу охвата, и уважайте системы и виды деятельности, не входящие в таковую.
  • Взаимодействуйте только с учётными записями или устройствами, которые принадлежат вам или с явного разрешения их владельца.
  • Прилагать добросовестные усилия во избежание прерывания или ухудшения качества наших услуг.
  • Если уязвимость обеспечивает непреднамеренный доступ к данным, ограничьте объем данных, к которым вы имеете доступ, до минимума, необходимого для эффективной демонстрации подтверждения концепции.
  • Прекратите тестирование и немедленно отправьте отчёт, если во время тестирования вы обнаружите какие-либо данные пользователя, такие как персональная информация, идентифицирующая личность, персональная медицинская информация, данные кредитной карты или информация, представляющая коммерческую тайну.
  • Не пытайтесь получить физический доступ к собственности Transporeon или центрам обработки данных.
  • Не пытайтесь выполнять атаки типа «Отказ в обслуживании».
  • Социальная инженерия (например, фишинг, вишинг, смайлинг) запрещена.
  • Незамедлительно сообщайте о любой обнаруженной вами уязвимости.
  • Перед раскрытием данных об уязвимости не предпринимайте попыток предварительного шантажа посредством выдвижения требований о выплате денежного вознаграждения.
  • Для обсуждения с нами информации об уязвимости используйте только официальные каналы.

Обнаружение

Вам не разрешается публично обсуждать или публиковать любую уязвимость до того, как она будет устранена, или вами было получено на это наше явное разрешение. 

Сфера охвата

Данные принципы распространяются на все услуги, продукты или веб-имущество компании Transporeon.

Обратите внимание!Большинство сообщений, которые мы получаем, практически не влияют на безопасность или уже известны. Чтобы избежать разочарований при обращении к нам, пожалуйста, уделите время и подумайте, имеет ли проблема, о которой вы хотите сообщить, реалистичный сценарий атаки.

В частности, мы просим вас не подавать отчёты, касающиеся: 

  • Теоретические уязвимости без каких-либо доказательств или демонстрации реального наличия уязвимости.
  • Выводы, полученные с помощью автоматизированных инструментов без предоставления доказательств концепции.
  • Уязвимости, подразумевающие участие взломщика, подключившегося к каналу связи между контрагентами, или физический доступ к браузеру пользователя, смартфону или учётной записи электронной почты, а также проблемы на рутованных или взломанных смартфонах.
  • Отсутствующие или слабые HTTP-заголовки, связанные с безопасностью.
  • Раскрытие нечувствительных данных, например, баннеры версии сервера.
  • Проблемы подмены содержания и внедрения текста без демонстрации вектора атаки/без возможности модификации HTML/CSS.
  • Подделка межсайтовых запросов (CSRF) на неаутентифицированных формах или формах без чувствительных действий.
  • Межсайтовый скриптинг (XSS-атака)
  • Отсутствие установившихся практик электронной почты (недействительные, неполные или отсутствующие записи SPF/DKIM/DMARC и т.д.).
  • Внедрение заголовка узла, кроме тех случаев, когда вы можете подтвердить, что это может быть использовано в практической атаке.
  • Ранее известное уязвимое программное обеспечение или библиотеки без работающего доказательства концепции.
  • Ограничение скорости, брутфорс на конечных точках без аутентификации.
  • DOS (отказ в обслуживании)
  • CSV-инъекция
  • Вредоносные коды на базе флэш-памяти
  • Кликджекинг на страницах, не содержащих чувствительных действий.

Действия, которые вы можете ожидать от нас: 

Работая с нами в соответствии с вышеуказанными принципами, вы можете рассчитывать на то, что мы:

  • Расширим «зону безопасности» для ваших исследований уязвимостей, которые проводятся в соответствии с данными принципами;
  • Незамедлительно сообщим о любой обнаруженной вами уязвимости;
  • Будем работать с вами, чтобы понять и подтвердить ваш отчёт, включая первоначальный ответ на представление такового в разумные сроки;
  • Предпримем шаги для своевременного устранения обнаруженных уязвимостях;
  • Уведомим вас, когда уязвимость будет устранена, чтобы ее можно было повторно протестировать и подтвердить устранение.

Transporeon ценит усилия  аналитиков в области информационной безопасности по выявлению уязвимостей и сотрудничеству с нами для обеспечения безопасности наших клиентов. Мы благодарны вам за то, что вы делаете все возможное для повышения надёжности и безопасности наших продуктов и интернет-сообщества в целом.

Закрыть накладку

Вы заслуживаете наиболее подходящую информацию

Мы хотим показывать Вам только ту информацию, которая может представлять для Вас интерес. Чтобы повысить релевантность нашей информации для Вас, пожалуйста, ответьте на вопрос:

Кем вы работаете?

Уже являетесь клиентом?