Πρόγραμμα Υπεύθυνης Αποκάλυψης Ευπάθειας

Overview

Skroutz, ως εταιρεία, παραμένει δεσμευμένη να προσφέρει στους πελάτες και συνεργάτες μας υπηρεσίες υψηλής ποιότητας ενώ διασφαλίζει ότι τα δεδομένα και οι προσωπικές πληροφορίες τους παραμένουν ασφαλείς και προστατευμένες καθ' όλη τη διάρκεια των αλληλεπιδράσεών τους με τις υπηρεσίες μας.

To that end Skroutz is running a best-in-classΠρόγραμμα Υπεύθυνης Αποκάλυψης Ευπαθειών, σε συνεργασία με το BugCrowd (https://bugcrowd.com), με στόχο να δώσουμε τη δυνατότητα στην κοινότητά μας από άτομα με τεχνικές γνώσεις και ερευνητές ασφαλείας να παρέχουν πληροφορίες για πιθανές αναγνωρισμένες ευπάθειες ασφαλείας σε οποιαδήποτε από τις κύριες υπηρεσίες μας.

Για να διασφαλίσετε ότι οποιαδήποτε αποκάλυψη τέτοιων αδυναμιών μπορεί να αναφερθεί υπεύθυνα, παρακαλούμε να ακολουθείτε τις ακόλουθες γενικές οδηγίες:

  • Όλες οι σχετικές υποβολές πρέπει να γίνονται μέσω της φόρμας γνωστοποίησης ευπάθειας που βρίσκεται στο κάτω μέρος αυτής της σελίδας
  • Βεβαιωθείτε ότι αναφέρετε οποιεσδήποτε εντοπισμένες ευπάθειες εγκαίρως για να διασφαλίσετε γρήγορη διαλογή και μετριασμό από την ομάδα μας ειδικών ασφαλείας. Έτσι θα λάβετε και την ανταμοιβή σας το συντομότερο δυνατό!
  • This disclosure program, as well as all vulnerability associated rewards, are solely managed & operated by BugCrowd in accordance with their terms & conditions.
  • We ask that any identified vulnerabilities remain strictly confidential to safeguard our community of customers and partners and reduce their exposure. All submissions should be made in a confidential fashion through this program submission page and no public disclosure or other form of publication should be made. We reserve our right for withholding rewards or initiating legal action if those conditions are not met
  • Οποιαδήποτε προσωπικά δεδομένα ή άλλες εμπιστευτικές πληροφορίες & δεδομένα που έρχονται στην κατοχή σας ή επεξεργάζονται από εσάς, ως αποτέλεσμα μιας αναγνωρισμένης ευπάθειας, θα πρέπει να καταστρέφονται άμεσα, αμέσως μετά την υποβολή της ευπάθειας για να εξασφαλιστεί η προστασία της ιδιωτικότητας της κοινότητάς μας.
  • Τέλος, βεβαιωθείτε ότι οποιαδήποτε έρευνα για την αναγνώριση ευπαθειών έχει πραγματοποιηθεί μόνο με νόμιμα μέσα, αποφεύγοντας την παράνομη πρόσβαση σε συστήματα υπολογιστών, λογαριασμούς χρηστών και ευαίσθητες πληροφορίες που δεν σας ανήκουν ή για τις οποίες δεν έχετε ρητή άδεια πρόσβασης από το Skroutz
  • Attempts to use malware or other malicious software, directly contact customers and partners of Skroutz or send spam and/or fraudulent email or electronic messages is strictly forbidden under the rules of this program

Scope

Ζητήσατε να αναφέρετε όλες τις εντοπισμένες ευπάθειες ασφαλείας, εκτός αν εμπίπτουν σε μία ή περισσότερες από τις κατηγορίες που εξηγούνται παρακάτω, οι οποίες θεωρούνται εκτός πεδίου και δεν θα γίνονται αποδεκτές ως νόμιμες υποβολές ευπαθειών από την ομάδα κυβερνοασφάλειας του Skroutz. Οι τύποι ευπαθειών που δεν μας ενδιαφέρουν περιλαμβάνουν τα εξής:

  • HTTP security headers
  • Browser cookie security flags
  • SSL/TLS & θέματα που σχετίζονται με πιστοποιητικά (π.χ. κρυπτογραφήσεις, ισχύς πιστοποιητικού κ.λπ.)
  • Password policy (π.χ. πολυπλοκότητα κωδικού, λήξη, χρονικό όριο επαναφοράς κωδικού κ.λπ.)
  • Χρονικό διάστημα λήξης συνεδρίας
  • Self-XSS
  • Μηνύματα σφάλματος - Εκτός αν οδηγούν σε έκθεση ευαίσθητων δεδομένων
  • Θέματα Clickjacking
  • Πολιτικές κλειδώματος λογαριασμού
  • Συστάσεις ελέγχου ασφαλείας (firewalls, WAFs κ.λπ.)
  • Vulnerabilities only relevant to users of legacy/obsolete/out-of-date browsers
  • Θέματα διακομιστή email - Εκτός αν είναι άμεσα εκμεταλλεύσιμα μέσω της εφαρμογής ιστού/API
  • Email/Όνομα χρήστη απαρίθμηση (άλλες απαριθμήσεις είναι εντός πεδίου)
  • Out-of-date vulnerable third-party libraries (Unless you can demonstrate exploitability of the vulnerability on the web application)

Απαγορευμένες δραστηριότητες

Οι ακόλουθες δραστηριότητες είναιstrictly prohibited, δεν θα είναι επιλέξιμοι για οποιεσδήποτε ανταμοιβές και μπορεί ακόμη και να οδηγήσει σε αποκλεισμό λογαριασμών/διευθύνσεων IP/πελατών από τις υπηρεσίες μας συνολικά:

  • Phishing/Social Engineering επιθέσεις
  • Malware & Κακόβουλο λογισμικό χρήση
  • Denial of Service & Distributed Denial of Service επιθέσεις
  • IP/port scanning
  • Επίθεση στους εξισορροπητές φορτίου που εξυπηρετούν τις εφαρμογές και τα τελικά σημεία API άμεσα
  • Επίθεση στο δίκτυο και/ή στους κεντρικούς υπολογιστές των εφαρμογών και των σημείων τερματισμού API απευθείας - εκτός αν είναι δυνατή μέσω μιας ευπάθειας εφαρμογής/API
  • Post-exploitation activities (πλευρική κίνηση, backdoors, rootkits, προγραμματισμένες εργασίες κ.λπ.)
  • Υπερβολική επιθετικότητα σε αυτοματοποιημένα εργαλεία σάρωσης:
    • Always pace your scanning tools to a reasonable amount of concurrent requests against the environment
    • Do not create huge amounts of new database entries via automated means (π.χ. Νέοι λογαριασμοί) - Δημιουργήστε μόνο ό,τι είναι απαραίτητο για τη δοκιμή σας με χειροκίνητο ή ημι-αυτοματοποιημένο τρόπο
    • Do not attempt to bruteforce credentials

Rewards

Οι ανταμοιβές απονέμονται από την BugCrowd, μετά από επιτυχή επικύρωση της υποβολής σας, σύμφωνα με τους όρους και τις προϋποθέσεις που περιγράφονται εδώ:https://docs.bugcrowd.com/researchers/receiving-rewards/getting-rewarded/

Οι υποβολές θα πρέπει να αναγνωρίζονται εντός 72 ωρών από την ομάδα κυβερνοασφάλειας μας, οπότε η ομάδα θα αρχίσει να εργάζεται για την επικύρωση της υποβολής σας. Αυτή η διαδικασία συνήθως δεν θα διαρκέσει περισσότερο από 5 εργάσιμες ημέρες, αλλά υπόκειται στη διαθεσιμότητα της ομάδας ασφαλείας και άλλες προτεραιότητες.

Για οποιεσδήποτε περαιτέρω ερωτήσεις σχετικά με το πρόγραμμα και τις κατευθυντήριες γραμμές του, παρακαλούμε επικοινωνήστε με το BugCrowd στο[email protected]

Έντυπο Υπεύθυνης Αποκάλυψης Ευπάθειας