Bug Bounty Program

FlowHunt si klade za cíl udržet své služby bezpečné pro všechny a ochrana dat je nejvyšší prioritou. Pokud jste bezpečnostní výzkumník a objevili jste bezpečnostní zranitelnost ve službě, oceníme, když nám ji neveřejně nahlásíte a dáte nám příležitost ji opravit před zveřejněním technických detailů.

FlowHunt bude spolupracovat s bezpečnostními výzkumníky při nahlášení zranitelností, jak je zde popsáno. Zranitelnosti ověříme, zareagujeme na ně a opravíme v rámci našeho závazku k bezpečnosti a ochraně soukromí. Nebudeme podnikat právní kroky, pozastavovat ani ukončovat přístup ke Službě těm, kteří zodpovědně objeví a nahlásí bezpečnostní zranitelnosti. FlowHunt si vyhrazuje všechna svá právní práva v případě jakéhokoliv nedodržení politiky.

Způsobilost

Abyste se mohli zapojit do našeho bug bounty programu, musíte:

• Být starší 18 let
• Nebýt současným nebo bývalým zaměstnancem, dodavatelem ani blízkým příbuzným zaměstnance FlowHunt
• Nebýt subjektem amerických sankcí ani nežít v zemi pod americkým embargem
• Dodržovat všechny platné zákony a předpisy
• Řídit se zásadami zodpovědného zveřejnění

Nahlášení

Podrobnosti o všech podezřelých zranitelnostech sdílejte s bezpečnostním týmem FlowHunt na adrese support@flowhunt.io . Tyto informace prosím bez výslovného svolení veřejně nešířte mimo tento proces.

Požadavky na kvalitu hlášení

Vaše hlášení zranitelnosti by mělo obsahovat:

• Souhrn: Stručný popis zranitelnosti
• Dopad: Potenciální bezpečnostní dopad a obchodní riziko
• Kroky k reprodukci: Podrobné, krok za krokem popsané instrukce
• Důkaz konceptu: Důkaz, že zranitelnost existuje
• Dotčené aktiva: Konkrétní URL adresy, parametry nebo komponenty
• Zhodnocení závažnosti: Vaše posouzení úrovně závažnosti
• Návrhy na zmírnění: Doporučená opatření (volitelné)

Pokud chcete zaslat více hlášení najednou, odešlete prosím pouze jedno hlášení (pokud možno to nejdůležitější) a vyčkejte na odpověď.

Časová osa reakce

• Potvrzení přijetí: Do 5 pracovních dnů od odeslání hlášení
• Prvotní posouzení: Do 10 pracovních dnů
• Cílové vyřešení: Do 90 dnů pro platné zranitelnosti
• Aktualizace: Pravidelné informace o stavu v průběhu procesu

Odměna

S potěšením nabízíme odměnu za informace o zranitelnostech, které nám pomáhají chránit naše zákazníky, jako poděkování bezpečnostním výzkumníkům, kteří se rozhodnou zapojit do našeho bug bounty programu.

Klasifikace závažnosti

Kritická závažnost (100 USD):

• Vzdálené spuštění kódu
• SQL injection vedoucí k přístupu k datům
• Obejití autentizace ovlivňující více uživatelů
• Privilegovaná eskalace na úroveň administrátora
• Úplné převzetí účtu

Střední závažnost (50 USD):

• Cross-site scripting (XSS) s významným dopadem
• Obejití řízení přístupu s omezeným dopadem na data
• Průchod adresářovou strukturou s přístupem k souborům
• Zranitelnosti v řízení relací
• Nezabezpečená autentizace ovlivňující jednotlivé uživatele

Nízká závažnost (Není způsobilé k vyplacení):

• Menší úniky informací
• Self-XSS bez reálného vektoru útoku
• Problémy s omezením rychlosti
• Chybějící bezpečnostní hlavičky bez využitelného dopadu

Platební podmínky

• Odměny jsou vypláceny výhradně přes PayPal
• Účastníci bug bounty musí vystavit a zaslat PayPal fakturu
• Jiné platební metody nejsou dostupné
• Zpracování platby do 30 dnů od přijetí faktury
• Všechny platby podléhají platným daňovým předpisům

Odměnu obdrží pouze první nahlášení dané zranitelnosti. Duplicitní hlášení nebudou odměněna.

Rozsah

V rámci programu

Testovat smíte pouze účet FlowHunt, jehož jste vlastníkem, nebo jste agentem, kterého vlastník účtu výslovně pověřil testováním. Například: vasedoména.flowhunt.io

Způsobilá aktiva:

• Domény a subdomény *.flowhunt.io
• Webové aplikace a API FlowHunt
• Mobilní aplikace FlowHunt (pokud jsou k dispozici)

Způsobilé typy zranitelností:

• Vzdálené spuštění příkazů (RCE)
• SQL Injection
• Chybná autentizace
• Chybná správa relací
• Obejití řízení přístupu
• Cross-Site Scripting (XSS)
• Otevřené přesměrování URL
• Průchod adresářovou strukturou
• Server-Side Request Forgery (SSRF)
• Chyby v obchodní logice

Mimo rozsah

Zakázané aktivity:

• Sociální inženýrství (phishing, vishing atd.)
• Fyzické útoky nebo fyzický přístup do prostor FlowHunt
• DoS nebo DDoS útoky
• Spam, hromadná komunikace nebo automatizované nástroje proti našim systémům
• Síťové útoky nebo skenování infrastruktury
• Útoky vyžadující fyzický přístup k uživatelským zařízením
• Hrubé útoky silou nebo lámání hesel
• Testování na účtech, které nevlastníte nebo k nimž nemáte výslovné povolení

Nespadající nálezy:

• Hlášení, kdy útočník může ohrozit pouze svůj vlastní účet
• XSS způsobené administrátorem nebo privilegovaným uživatelem
• Zranitelnosti vyžadující nepravděpodobnou interakci uživatele
• Problémy vyžadující instalaci škodlivého softwaru uživatelem
• Teoretické zranitelnosti bez jasné možnosti zneužití
• Podvržení obsahu bez bezpečnostního dopadu
• Chybějící omezení rychlosti bez prokazatelného dopadu
• Problémy týkající se pouze zastaralých prohlížečů nebo platforem

Pravidla programu

Pokyny pro testování

• Testujte pouze na účtech, které vlastníte, nebo k jejichž testování máte výslovné povolení
• Nepřistupujte, neupravujte ani nemažte data patřící jiným uživatelům
• Nenarušujte služby ani nesnižujte jejich výkon
• Omezte automatizované testování, abyste předešli narušení služeb
• Nezveřejňujte zranitelnosti před jejich opravou
• Vyvíjejte snahu vyhnout se porušení soukromí a ničení dat

Safe Harbor & Právní ochrana

FlowHunt se zavazuje:

• Nepodnikat právní kroky proti výzkumníkům, kteří dodržují tuto politiku
• Spolupracovat s výzkumníky při porozumění a ověření bezpečnostních problémů
• Uznat platné příspěvky k naší bezpečnosti
• Zachovat důvěrnost a nesdělovat identitu výzkumníka bez jeho svolení

Výzkumníci musí:

• Dodržovat všechny platné zákony a předpisy
• Přistupovat pouze k datům nezbytným k doložení zranitelnosti
• Hlásit zranitelnosti rychle a v dobré víře
• Zranitelnosti nezneužívat nad rámec potřebný k demonstraci

Časová osa zveřejnění

• Ihned: Hlášení zasláno na support@flowhunt.io
• 90 dní: Standardní doba zveřejnění po původním hlášení
• Koordinovaně: Veřejné zveřejnění pouze po vzájemné dohodě
• Nouzová situace: Kritické zranitelnosti mohou mít zrychlený harmonogram

Výzkumníci mohou zranitelnosti zveřejnit 90 dní po původním hlášení, nebo po potvrzení řešení ze strany FlowHunt, podle toho, co nastane dříve. Doporučujeme koordinované zveřejnění a budeme s výzkumníky spolupracovat na vhodném načasování.