Programma di Ricompensa

Se hai trovato una vulnerabilità di sicurezza su ZAFUL, ti invitiamo a inviarci un messaggio immediatamente. Esamineremo tutte le segnalazioni di vulnerabilità legittime e faremo del nostro meglio per risolvere rapidamente il problema. Prima di segnalare, si prega di rivedere questo documento, compreso il principio di base, il programma di taglie, le linee guida sulla ricompensa e ciò che non dovrebbe essere riportato.

Criterio basilare

Se rispetti i principi riportati di seguito quando comunichi a ZAFUL un problema di sicurezza, non avvieremo una denuncia o un'azione legale contro di te in risposta al tuo rapporto. Chiediamo che:

1. tu ci fornisca un tempo ragionevole per rivedere e riparare un problema da te segnalato prima di rendere pubbliche informazioni sul rapporto o di condividere tali informazioni con altri.

2. tu non interagisca con un singolo account (che include la modifica o l'accesso ai dati dall'account) se il proprietario dell'account non ha acconsentito a tali azioni.

3. tu faccia uno sforzo in buona fede per evitare violazioni della privacy e disagi per gli altri, inclusa (ma non limitata a) la distruzione dei dati e l'interruzione o il degrado dei nostri servizi.

4. tu non sfrutti un problema di sicurezza rilevato per qualsiasi motivo. (Ciò include la dimostrazione di ulteriori rischi, come il tentativo di compromissione di dati aziendali sensibili o la ricerca di problemi ulteriori).

5. tu non violi alcuna altra legge o regolamento applicabile.

Programma di Ricompensa

1. Seguire il nostro criterio di base (vedi sopra).

2. Riportare un bug di sicurezza: ovvero, identificare una vulnerabilità nei nostri servizi o nella nostra infrastruttura che crea un rischio per la sicurezza o la privacy. (Nota che ZAFUL determina in ultima analisi il rischio di un problema e che molti bug non sono problemi di sicurezza.)

Inviare il tuo rapporto tramite la nostra email“security@zaful.com” e rispondere al rapporto con qualsiasi aggiornamento. Si prega di non contattare i dipendenti direttamente o attraverso altri canali in relazioni al rapporto.

4. Se inavvertitamente si causa una violazione della privacy o un'interruzione (come l'accesso ai dati dell'account, configurazioni di servizio o altre informazioni riservate) mentre si sta investigando su un problema, assicurati di renderlo noto nel rapporto.

5. Investighiamo e rispondiamo a tutti i rapporti validi al più presto possibile. A causa del volume di rapporti che riceviamo, diamo priorità alle valutazioni basate sul rischio e altri fattori e potrebbe essere necessario di 5 giorni lavorativi prima che tu riceva una risposta.

6. Ci riserviamo il diritto di pubblicare i rapporti.

Ricompense

I nostri premi si basano sull'impatto di una vulnerabilità. Aggiorneremo il programma nel tempo in base ai feedback, quindi ti preghiamo di fornirci un feedback su qualsiasi parte del programma che ritieni di poter migliorare.

1. Si prega di fornire report dettagliati con passaggi riproducibili. Se il rapporto non è sufficientemente dettagliato per riprodurre il problema, questo argomento non sarà idoneo per una ricompensa.

2. Quando si verificano duplicati, premiamo il primo rapporto che possiamo ricreare in modo completo.

3. Le molteplici vulnerabilità causate da un problema di base saranno ricompensate con un premio.

4. Determiniamo la ricompensa in base a una serie di fattori, tra cui (ma non solo) impatto, facilità di utilizzo e qualità del rapporto. Notiamo in modo specifico i premi di ricompensa, elencati sotto.

5. Gli importi indicati di seguito sono il massimo che pagheremo per livello. Miriamo ad essere onesti, tutti gli importi della ricompensa sono a nostra discrezione.

Vulnerabilità di gravità critica ($ 5000): le vulnerabilità che causano l'escalation dei privilegi sulla piattaforma da non privilegiate ad amministratore, consentono l'esecuzione di codice in modalità remota, il furto finanziario, ecc. Esempi:

· Esecuzione di codice in modalità remota

·Esecuzione remota di comandi/shell

· Bypass dell'autenticazione verticale

·SQL Injection che perde dati mirati

·Pieno accesso agli account

Vulnerabilità di gravità elevata ($ 1000): vulnerabilità che influiscono sulla sicurezza della piattaforma, inclusi i processi che supporta. Esempi:

· Bypass di autenticazione laterale

·Divulgazione di informazioni importanti all'interno dell'azienda

·Bypass autenticazione verticale

·XSS memorizzato per un altro utente

·Gestione non sicura dei cookie di autenticazione

Vulnerabilità di gravità media ($ 500): vulnerabilità che interessano più utenti e che richiedono l'attivazione di interazione utente minima o nulla. Esempi:

·Difetti di progettazione logica comuni e difetti dei processi aziendali

· Divulgazione di informazioni importanti all'interno dell'azienda

·Riferimenti agli oggetti diretti non sicuri

Vulnerabilità di bassa gravità ($ 100): problemi che interessano singoli utenti e richiedono l'interazione o prerequisiti significativi (MITM) da attivare. Esempi:

·Apertura reindirizzamento

·XSS riflettente

·Perdite di informazioni a bassa sensibilità