Πολιτική Γνωστοποίησης Ευπαθειών Ασφαλείας 

1. Εισαγωγή

Στην Bomdiu, λαμβάνουμε σοβαρά υπόψη την ασφάλεια και εκτιμούμε τη συμβολή των ερευνητών ασφαλείας και της ευρύτερης κοινότητας ασφαλείας βοηθώντας μας να διατηρήσουμε την ασφάλεια και την ακεραιότητα των συστημάτων μας. Αυτή η Πολιτική Γνωστοποίησης Ευπαθειών περιγράφει τις κατευθυντήριες γραμμές για την αναφορά ευπαθειών ασφαλείας σε εμάς.

2. Πεδίο Εφαρμογής

Αυτή η πολιτική ισχύει για τυχόν ευπάθειες ασφαλείας που εντοπίζονται στις δημόσια προσβάσιμες υπηρεσίες της Bomdiu, συμπεριλαμβανομένου του ιστότοπού μας, των API και οποιονδήποτε άλλων συστημάτων που ανήκουν και λειτουργούν από την Bomdiu.

Εκτός Πεδίου Εφαρμογής

Τα ακόλουθα θεωρούνται εκτός του πεδίου εφαρμογής αυτής της πολιτικής:

  • Ευπάθειες σε υπηρεσίες ή εφαρμογές τρίτων που δεν βρίσκονται υπό τον άμεσο έλεγχο της Bomdiu.
  • Επιθέσεις κοινωνικής μηχανικής, συμπεριλαμβανομένου του phishing των υπαλλήλων ή των εργολάβων μας.
  • Φυσική ασφάλεια των γραφείων ή των κέντρων δεδομένων μας.
  • Αναφορές από αυτοματοποιημένους σαρωτές χωρίς απόδειξη της ιδέας (proof of concept) που να καταδεικνύει μια συγκεκριμένη ευπάθεια.
  • Ογκομετρικές επιθέσεις άρνησης υπηρεσίας (DoS).

3. Κατευθυντήριες Γραμμές Υπεύθυνης Γνωστοποίησης

Ζητούμε από τους ερευνητές ασφαλείας να τηρούν τις ακόλουθες οδηγίες κατά την αναφορά ευπαθειών:

  • Ενεργήστε καλή τη πίστη και αποφύγετε την παραβίαση νόμων ή παραβίαση δεδομένων.
  • Μην εκτελείτε επιθέσεις που θα μπορούσαν να διαταράξουν τις υπηρεσίες μας, συμπεριλαμβανομένης της άρνησης υπηρεσίας (DoS), spam ή κοινωνικής μηχανικής.
  • Μην προσπελαύνετε, τροποποιείτε ή διαγράφετε δεδομένα που δεν σας ανήκουν.
  • Παρέχετε μια σαφή και λεπτομερή αναφορά με βήματα για την αναπαραγωγή της ευπάθειας, συμπεριλαμβανομένης τυχόν σχετικής απόδειξης της ιδέας (proof of concept).
  • Αναφέρετε τις ευπάθειες αμέσως και δώστε μας εύλογο χρόνο για να διερευνήσουμε και να διορθώσουμε το πρόβλημα πριν από τη δημόσια γνωστοποίηση.

4. Διαδικασία Αναφοράς

Εάν έχετε ανακαλύψει μια ευπάθεια ασφαλείας, αναφέρετέ την σε εμάς μέσω του security@bomdiu.com με τις ακόλουθες λεπτομέρειες:

  • Μια περιγραφή της ευπάθειας.
  • Βήματα για την αναπαραγωγή του ζητήματος.
  • Πιθανός αντίκτυπος της ευπάθειας.
  • Οποιοδήποτε υποστηρικτικό υλικό (π.χ. στιγμιότυπα οθόνης, αρχεία καταγραφής, κώδικας proof-of-concept).

Στόχος μας είναι να επιβεβαιώσουμε την παραλαβή της αναφοράς σας εντός 2 εργάσιμων ημερών και να παρέχουμε μια αρχική αξιολόγηση εντός 5 εργάσιμων ημερών. Θα σας κρατάμε ενήμερους για την πρόοδό μας καθώς διερευνούμε και διορθώνουμε το ζήτημα.

5. Η Δέσμευσή Μας

Μόλις υποβάλετε μια αναφορά, δεσμευόμαστε για τα εξής:

  • Θα επιβεβαιώσουμε αμέσως την αναφορά σας.
  • Θα συνεργαστούμε μαζί σας για να κατανοήσουμε και να επικυρώσουμε τα ευρήματά σας.
  • Θα λάβουμε εύλογα μέτρα για την αποκατάσταση της ευπάθειας εγκαίρως.
  • Θα διατηρήσουμε ανοιχτή γραμμή επικοινωνίας μαζί σας καθ’ όλη τη διάρκεια της διαδικασίας.

6. Αναγνώριση

Η Bomdiu δεν προσφέρει οικονομικές ανταμοιβές ή αποζημιώσεις για γνωστοποιήσεις ευπαθειών ασφαλείας. Ωστόσο, εκτιμούμε βαθιά τη συμβολή των ερευνητών ασφαλείας. Ενδέχεται να προσφέρουμε δημόσια αναγνώριση για σημαντικές και υπεύθυνα γνωστοποιημένες ευπάθειες, με την άδειά σας.

7. Νομικά Θέματα

Υποβάλλοντας μια αναφορά, συμφωνείτε να αποφύγετε τυχόν παράνομες δραστηριότητες και να ακολουθήσετε πρακτικές ηθικής γνωστοποίησης. Η Bomdiu δεν θα προβεί σε νομικές ενέργειες εναντίον ερευνητών που ενεργούν καλή τη πίστη και συμμορφώνονται με αυτήν την πολιτική.

8. Συμπέρασμα

Εκτιμούμε τις προσπάθειες των ερευνητών ασφαλείας να κάνουν τις υπηρεσίες της Bomdiu πιο ασφαλείς. Εάν έχετε οποιεσδήποτε ερωτήσεις σχετικά με αυτήν την πολιτική, επικοινωνήστε μαζί μας στο security@bomdiu.com.

Σας ευχαριστούμε που μας βοηθάτε να διατηρήσουμε την ασφάλεια των συστημάτων μας.