Сообщение о проблемах безопасности

  • Обновлено

Политика вознаграждения за ошибки

Для компании Firecore приоритетным является поддержание высокого уровня безопасности во всех наших продуктах. В целях повышения общей безопасности мы приветствуем, когда лица, обнаружившие потенциальные риски безопасности или утечку данных, ответственно сообщают о них нашей команде.

При сообщении о проблемах следует руководствоваться приведенными ниже рекомендациями.

  • Доступ и раскрытие только собственных данных
  • Если произошел непреднамеренный доступ или раскрытие других данных, незамедлительно сообщите об этом нам. Не пытайтесь продолжать эксплуатацию на данном этапе
  • Отказ от использования средств и методов, которые могут ухудшить качество обслуживания других пользователей
  • Соблюдать строгую конфиденциальность и сообщать об уязвимостях только компании Firecore

Области интересов

Хотя мы ценим каждую заявку, многие заявки, как правило, являются тривиальными и оказывают минимальное влияние на безопасность сервисов Firecore и наших пользователей. Однако нас особенно интересует следующее:

  • Удаленное выполнение кода в наших клиентских приложениях или облачной инфраструктуре
  • Атаки с повышением привилегий на нашу облачную инфраструктуру
  • Атаки на аутентификацию
  • Межсайтовый скриптинг (XSS)
  • Подделка межсайтовых запросов (CSRF/XSRF)

Обратите внимание, что программа вознаграждений не распространяется на следующие виды представлений:

  • Уязвимости типа "отказ в обслуживании" (DoS)
  • Неадекватная обработка файлов cookie
  • Обнаруженные недостатки в безопасности сторонних веб-сайтов и программного обеспечения, используемых сервисами Firecore
  • Попытки отправки вредоносных файлов или ссылок другим лицам
  • Случаи спама, фишинга или использования тактики социальной инженерии

Воспроизводимость

Для того чтобы претендовать на какое-либо вознаграждение, наши инженеры должны быть в состоянии воспроизвести проблему. Поэтому, пожалуйста, будьте конкретны в своем отчете, так как это сэкономит время всем участникам процесса.

Вознаграждения

Мы благодарны тем, кто ответственно подходит к раскрытию информации об уязвимостях и эксплойтах в соответствии с вышеупомянутыми рекомендациями, поскольку их помощь помогает нам повысить безопасность данных наших клиентов.

Следует отметить, что наша программа вознаграждений носит дискреционный характер, и компания Firecore оставляет за собой право изменять или прекращать ее действие, если сочтет это необходимым.

Обратите внимание, что вознаграждение будет выплачиваться только за неизвестные уязвимости; уже известные проблемы, выявленные в результате внутренней оценки или внешних отчетов, не будут подлежать компенсации.

Мы рады предоставить бесплатную пожизненную подписку на Infuse Pro для всех подходящих отчетов. В случае, если Вы уже являетесь лицензированным пользователем Infuse Pro или не используете Infuse, мы предложим Вам соответствующий денежный эквивалент.

Как представить отчет

Чтобы сообщить о потенциальной проблеме безопасности в компанию Firecore, выполните следующие действия:

  1. Отправить нам защищенный сигнал
  2. Убедитесь, что ваш отчет содержит важную информацию, такую как платформа, версия приложения, необходимые условия эксплуатации, описание, подкрепленное доказательством концепции или кодом эксплуатации, потенциальное воздействие в случае эксплуатации, а также все необходимые приложения.
  3. Пожалуйста, воздержитесь от прямого обращения к отдельным сотрудникам
  4. К участию в конкурсе допускаются только заявки, поданные через указанную форму

Если у нас возникнут вопросы, связанные с отчетом, мы обязательно сообщим вам об этом. Мы признательны вам за помощь в повышении общей безопасности нашего сервиса.

Поделиться этой статьей

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 4

Еще есть вопросы? Отправить запрос