Program Bug Bounty

FlowHunt dąży do zapewnienia bezpieczeństwa swoim użytkownikom, a ochrona danych jest dla nas sprawą najwyższej wagi. Jeśli jesteś badaczem bezpieczeństwa i odkryłeś podatność w Serwisie, doceniamy Twoją pomoc w jej prywatnym ujawnieniu oraz danie nam szansy na naprawę przed opublikowaniem szczegółów technicznych.

FlowHunt będzie współpracować z badaczami bezpieczeństwa, gdy podatności zostaną zgłoszone zgodnie z poniższymi zasadami. Zgłoszenia zostaną przez nas zweryfikowane, otrzymasz odpowiedź i naprawimy podatności, zgodnie z naszym zaangażowaniem w bezpieczeństwo i prywatność. Nie podejmiemy kroków prawnych, nie zawiesimy ani nie zakończymy dostępu do Serwisu wobec osób, które w sposób odpowiedzialny wykrywają i zgłaszają podatności. FlowHunt zastrzega sobie wszelkie prawa w przypadku nieprzestrzegania zasad.

Kto może wziąć udział

Aby móc wziąć udział w naszym programie bug bounty, musisz:

• Mieć ukończone 18 lat
• Nie być obecnym ani byłym pracownikiem, współpracownikiem ani członkiem najbliższej rodziny pracownika FlowHunt
• Nie podlegać sankcjom USA ani nie mieszkać w kraju objętym embargiem USA
• Przestrzegać wszystkich obowiązujących przepisów prawa
• Stosować się do zasad odpowiedzialnego ujawniania

Zgłaszanie podatności

Wszelkie podejrzewane podatności zgłaszaj Zespołowi Bezpieczeństwa FlowHunt na adres support@flowhunt.io . Prosimy nie upubliczniać tych szczegółów poza tym procesem bez naszej wyraźnej zgody.

Wymagania dotyczące jakości zgłoszenia

Twoje zgłoszenie podatności powinno zawierać:

• Podsumowanie: Krótki opis podatności
• Wpływ: Potencjalny wpływ na bezpieczeństwo i ryzyko biznesowe
• Kroki do odtworzenia: Szczegółowa, krok po kroku instrukcja
• Dowód koncepcji: Materiał potwierdzający występowanie podatności
• Dotknięte zasoby: Konkretne adresy URL, parametry lub komponenty
• Ocena wagi: Twoja ocena poziomu zagrożenia
• Sugestie naprawy: Zalecane poprawki (opcjonalnie)

Jeśli chcesz zgłosić kilka podatności jednocześnie, prześlij tylko jedno zgłoszenie (najważniejsze, jeśli to możliwe) i poczekaj na odpowiedź.

Terminy reakcji

• Potwierdzenie otrzymania: W ciągu 5 dni roboczych od zgłoszenia
• Wstępna ocena: W ciągu 10 dni roboczych
• Docelowa naprawa: W ciągu 90 dni dla potwierdzonych podatności
• Aktualizacje: Regularne informacje o statusie w trakcie procesu

Wynagrodzenie

Cieszymy się, że możemy zaoferować nagrodę za informacje o podatnościach, które pomagają nam chronić naszych użytkowników, jako podziękowanie dla badaczy bezpieczeństwa biorących udział w programie bug bounty.

Klasyfikacja wagi

Krytyczna waga (100 USD):

• Zdalne wykonanie kodu
• SQL injection z dostępem do danych
• Ominięcie uwierzytelniania dotykające wielu użytkowników
• Eskalacja uprawnień do poziomu administratora
• Przejęcie całego konta

Średnia waga (50 USD):

• Cross-site scripting (XSS) o znacznym wpływie
• Ominięcie kontroli dostępu dotyczące ograniczonych danych
• Przechodzenie po katalogach z dostępem do plików
• Podatności w zarządzaniu sesją
• Błędy uwierzytelniania dotyczące pojedynczych użytkowników

Niska waga (brak nagrody):

• Drobne ujawnienie informacji
• Self-XSS bez realnego wektora ataku
• Problemy z ograniczeniami liczby żądań
• Brak nagłówków bezpieczeństwa bez możliwości wykorzystania

Warunki wypłaty

• Wypłaty realizowane wyłącznie przez PayPal
• Łowca bugów musi wystawić i przesłać fakturę PayPal
• Inne metody płatności nie są dostępne
• Przetwarzanie płatności do 30 dni od otrzymania faktury
• Wszystkie wypłaty podlegają obowiązującym przepisom podatkowym

Nagrodę otrzyma wyłącznie pierwszy zgłaszający daną podatność. Powielone zgłoszenia nie będą nagradzane.

Zakres

W zakresie

Dozwolone jest testowanie wyłącznie na koncie FlowHunt, którego jesteś Właścicielem lub Agentem upoważnionym przez Właściciela konta do przeprowadzenia takich testów. Przykład: twojadomena.flowhunt.io

Zgłoszenia obejmują:

• Domeny i subdomeny *.flowhunt.io
• Aplikacje internetowe i API FlowHunt
• Aplikacje mobilne FlowHunt (jeśli dotyczy)

Dopuszczalne typy podatności:

• Zdalne wykonywanie poleceń (RCE)
• SQL Injection
• Błędne uwierzytelnianie
• Błędne zarządzanie sesją
• Ominięcie kontroli dostępu
• Cross-Site Scripting (XSS)
• Otwarte przekierowania URL
• Przechodzenie po katalogach
• Server-Side Request Forgery (SSRF)
• Błędy logiki biznesowej

Poza zakresem

Zabronione działania:

• Ataki socjotechniczne (phishing, vishing itp.)
• Ataki fizyczne lub dostęp fizyczny do obiektów FlowHunt
• Ataki DoS lub DDoS (odmowa usługi)
• Spam, masowa wysyłka lub automatyczne narzędzia przeciwko naszym systemom
• Ataki na poziomie sieci lub skanowanie infrastruktury
• Ataki wymagające fizycznego dostępu do urządzeń użytkownika
• Ataki siłowe (brute force) lub łamanie haseł
• Testowanie na kontach, które nie należą do Ciebie lub na których nie masz wyraźnego pozwolenia

Zgłoszenia niekwalifikujące się:

• Zgłoszenia, gdy atakujący może zagrozić tylko własnemu kontu
• XSS wywołany przez administratora lub użytkownika uprzywilejowanego
• Podatności wymagające mało prawdopodobnej interakcji użytkownika
• Błędy wymagające instalacji złośliwego oprogramowania przez użytkownika
• Teoretyczne podatności bez jasnej drogi do wykorzystania
• Podszywanie się pod treść bez wpływu na bezpieczeństwo
• Brak ograniczeń liczby żądań bez wykazanej możliwości nadużycia
• Problemy dotyczące wyłącznie przestarzałych przeglądarek lub platform

Zasady programu

Wytyczne dotyczące testów

• Przeprowadzaj testy wyłącznie na własnych kontach lub kontach, na których masz wyraźne pozwolenie
• Nie uzyskuj dostępu, nie modyfikuj ani nie usuwaj danych innych użytkowników
• Nie zakłócaj działania naszych usług ani nie obniżaj ich wydajności
• Ogranicz testy automatyczne, aby nie zakłócać działania serwisu
• Nie ujawniaj publicznie podatności przed ich naprawieniem
• Podejmij działania w dobrej wierze, by unikać naruszenia prywatności i zniszczenia danych

Gwarancja bezpieczeństwa prawnego

FlowHunt zobowiązuje się:

• Nie podejmować kroków prawnych wobec badaczy przestrzegających tej polityki
• Współpracować z badaczami w celu zrozumienia i weryfikacji problemów
• Doceniać wartościowy wkład w bezpieczeństwo naszej platformy
• Zachować poufność i nie ujawniać tożsamości badacza bez jego zgody

Badacze muszą:

• Przestrzegać wszystkich obowiązujących przepisów prawa
• Uzyskiwać dostęp tylko do danych niezbędnych do wykazania podatności
• Zgłaszać podatności niezwłocznie i w dobrej wierze
• Nie wykorzystywać podatności poza niezbędnym zakresem demonstracyjnym

Harmonogram ujawniania

• Natychmiast: Zgłoszenie wysłane na support@flowhunt.io
• 90 dni: Standardowy czas na ujawnienie po pierwszym zgłoszeniu
• Współpraca: Ujawnienie publiczne wyłącznie po wzajemnym uzgodnieniu
• Awaryjnie: Krytyczne podatności mogą mieć przyspieszony harmonogram

Badacze mogą ujawnić podatności publicznie po 90 dniach od zgłoszenia lub po potwierdzeniu naprawy przez FlowHunt, w zależności od tego, co nastąpi wcześniej. Zachęcamy do współpracy w zakresie terminu ujawnienia i chętnie ustalimy go wspólnie.