Program de recompense

Daca ai gasit o vulnerabilitate in securitatea ZAFUL, te incurajam sa ne scrii imediat. Vom verifica toate rapoartele de vulerabilitate legitime si vom face tot posibilul sa rezolvam problema cat de repede cu putinta. Inainte sa raportezi, te rugam vezi acest document, inclusiv principiile de baza, programul de recompense, linii directoare de recompense, si ce nu ar trebui raportat.

Principii de baza

Daca te supui principiilor de mai jos atunci cand raportezi o problema de securitate a ZAFUL, nu vom initia un proces legal sau investigatie legala impotriva ta in raspunsul raportului tau. Cerem sa:

1.Ne oferi un timp rezonabil sa revizuim si sa reparam o problema inainte de a ace publice orice informatii despre raport sau distribuirea informatiiloe de acest cen cu altii.

2.Nu interactionezi cu un cont individual (ceea ce include modificarea sau accesarea datelor din cont) daca detinatorul contului nu si-a oferit acordul pentru asemenea actiuni.

3.Faci un efort de buna credinta sa eviti violarile de confiedntialitate si intreruperea altora, inclusiv (dar nu limitat la) distrugerea datelor si intreruperea sau degradarea serviciilor noastre.

4.Nu exploatezi o problema de securitate descoperita indiferent de motiv. (Asta include demonstrarea riscurilor aditionale cum ar fii incercarea de compromis a datelor sensibile ale companiei sau verificarea pentru probleme aditionale).

5.Nu incalci nici o lege sau regulatie aplicabila.

Program de recompense

1.Adhere la principiile de baza (vezi mai sus).

2.Raporteaza o problema de securitate: asta este, identificarea unei vulnerabilitati in serviciile sau infrastructura noastra ce creaza un risc de securitate sau confidentialitate. (Tine cont ca ZAFUL are utlimul cuvant in determinarea riscului unei probleme, si ca multe erori nu sunt probleme de securitate).

3.Trimite raportul tau la “security@zaful.com” si raspunde raportului cu orice actualizari. Te rugam nu contacta angajati direct sau prin alte canale despre un raport. Daca ai orice intrebari sau probleme cu comanda ta, te rugam contacteaza Centrul de Asistenta pentru ajutor la support@zaful.com.

4. Daca cauzezi violare sau intrerupere a confidentialitatii din greseala (cum ar fii accesarea datelor contului, configurari de servicii, sau alte informatii confidentiale) in timpul investigatiei unei probleme, asigura-te ca mentionezi asta in raport.

5. Investigam si raspundem la toate rapoartele valide. Datorita volumului de rapoarte primite, totusi, prioritizam evaluarile bazate pe risc si alti factori, si poate dura ceva timp pana vei primii un raspuns.

6. Ne rezervam dreptul sa publicam rapoarte.

Recompense

Recompensele noastre se bazeaza pe impactul uneivulnerabilitati. Vom actualiza programul in timp pe baza feedback-ului, deci te rugam sa ne oferi feedback in orice parte a programului ce crezi ca poate fii imbunatatita.

1. Te rugam ofera rapoarte detaliate cu pasi ce pot fii reprodusi. Daca raportul nu este suficient de detaliat pentru a reproduse problema, problema nu va fii eligibila pentru recompensa.

2. Cand se intampla duplicate, recompensam primul raport ce poate fii complet reprodus.

3. Vulnerabilitati multiple cauzate de o singura problema de baza vor fii luate in calcul drept o singura recompensa.

4. Determinam recompensa pe baza unei varietati de factori,inclusiv (dar nu limitat la) impactul, usurinta de exploatare, si calitatea raportului. Notam in mod specific recompensele, acestea sunt listate mai jos.

5. Sumele de mai jos sunt maximul pe care il platim pe nivel. Dorim sa fim corecti, toate sumele recompenselor sunt la discretia noastra.

Vulnerabilitati de severitate critica ($200): Vulnerabilitati ce cauzeaza o escalare privilegiata pe platforma de la neprivilegiat la admin, ce acorda executare de cod, furt financial, etc. de la distanta. Exemple:

·Executare de cod de la distanta

·Shell de la distanta/Executare de comanda

·Bypass de autentificare verticala

·Injectie SQL ce scurge datele tinta

·Primeste acces complet la conturi

Vulnerabilitati se severitate ridicata ($100): Vulnerabilitati ce afecteaza securitatea pe platforma inclusiv procesele suportate. Exemple:

·Bypass de autentificare laterala

·Expunerea informatiilor importante ale companiei

·Bypass de autentificare verticala

·XSS depozitat pentru un alt utilizator

·Manevrarea nesecurizata a cookieurilor de autentificare

Vulnerabilitati de severitate medie($50): Vulnerabilitati ce afecteaza mai multi utilizatori, si necesita putina sau chiar deloc interactiunile utilizatorilor pentru declansare. Exemple:

·Erori comune de design si defecte de proces ale afecerii.

·Dezvaluirea informatiilor importante din companie

·Referinte nesigure ale obiectelor

Vulnerabilitati de severitate mica (none): Probleme ce afecteaza utilizatori singulari si necesita interactiune sau permise semnificative (MITM) pentru declansare. Exemple:

·Deschidere redirectionata

·XSS reflexiv

·Scurgeri de informatii cu nivel de sensibilitate scazut