Ответственное раскрытие уязвимостей
Eleving Group стремится обеспечить информационную безопасность и защиту наших информационных ресурсов от киберугроз. Мы поощряем ответственное раскрытие информации об уязвимостях системы безопасности, как указано в этой политике, и приглашаем всех аналитиков в области информационной безопасности сообщать о пробелах в системе безопасности наших служб и ресурсов.
Сфера применения
Настоящая политика применима к следующим доменам:
Исключение:
- autodiscover.mogo.lv
- eleving.com/.env, eleving.com/.aws/config and eleving.com/.aws/credential (Мы реализовали использование файлов-приманок, здесь нет достоверной информации.)
Мы ждём отчёты по оценке уязвимости, такие как межсайтовый скриптинг (XSS), внедрение SQL-кода, недостатки шифрования, удалённое выполнение кода, недостатки аутентификации и т. д.
Следующие типы тестов недопустимы:
- Сетевые проверки типа «отказ в обслуживании» (DoS, DDoS);
- Лобовая атака компрометации учётных записей;
- Психологическая атака;
- Тестирование физического доступа;
- Любое другое нетехническое тестирование уязвимостей.
Раскрытие информации на основании закона
Мы принимаем Отчёты об уязвимостях для перечисленных выше целей и, основываясь на принципах добросовестности и взаимного доверия, обязуемся не возбуждать судебные иски против лиц, которые:
- Cоблюдают настоящую политику во время оценки безопасности;
- Участвуют в тестировании продуктов и сервисов, не нанося вреда нашим системам и данным;
- Не раскрывают сведения об обнаруженных уязвимостях общественности до истечения взаимно согласованного срока.
Мы оставляем за собой право принимать или отклонять любые сообщения о любых уязвимостях и действовать в соответствии с нашими внутренними правилами и процедурами.
Как Вы можете сообщить о раскрытии
Если Вы считаете, что обнаружили уязвимость в наших информационных ресурсах, свяжитесь с нами по адресу security@eleving.com и укажите следующую информацию:
- Подробное описание уязвимости (на английском или латышском);
- Подробная информация об использовании уязвимости;
- Eсли применимо, ссылку, снимки экрана или любую другую информацию, которая поможет нам идентифицировать обнаруженную вами уязвимость.
Что мы ожидаем от Bас
Обратите внимание, что во время изучения уязвимостей крайне важно соблюдать следующие правила:
- Bы не используете обнаруженную уязвимость для доступа или попыток доступа к информации, которая вам не принадлежит (только для доказательства существования уязвимости);
- Bы не используете обнаруженную уязвимость для удаления или изменения информации;
- Bы своевременно сообщаете нам об уязвимости и позволяете нам исправить обнаруженную уязвимость, прежде чем сообщить о ней общественности.
Что ожидать от нас
Мы не предлагаем финансовую компенсацию, но когда уязвимость, о которой Bы сообщили, будет устранена, мы можем предоставить помощь и информацию для публикации аналитиком и продвигать его вклад на основании взаимной договоренности.