Program odmeňovania za nahlasovanie chýb (Bug Bounty Program)

FlowHunt sa snaží udržať svoju službu bezpečnú pre všetkých a bezpečnosť dát je pre nás najvyššou prioritou. Ak ste bezpečnostný výskumník a objavili ste bezpečnostnú zraniteľnosť v našej službe, oceníme vašu pomoc so súkromným nahlásením a poskytnutím príležitosti na opravu skôr, než budú technické detaily zverejnené.

FlowHunt bude spolupracovať s bezpečnostnými výskumníkmi pri nahlásení zraniteľností, ako je opísané nižšie. Overíme, zareagujeme a opravíme zraniteľnosti v rámci nášho záväzku k bezpečnosti a súkromiu. Nebudeme podnikať právne kroky, pozastavovať ani ukončovať prístup k službe tým, ktorí zodpovedne objavia a nahlásia zraniteľnosti. V prípade nedodržania pravidiel si FlowHunt vyhradzuje všetky svoje právne práva.

Oprávnenosť

Aby ste boli oprávnený zapojiť sa do nášho programu odmeňovania za nahlasovanie chýb, musíte:

• Mať aspoň 18 rokov
• Nebyť aktuálnym ani bývalým zamestnancom, dodávateľom alebo blízkym rodinným príslušníkom FlowHunt
• Nebyť subjektom amerických sankcií alebo nežijete v krajine pod embargom USA
• Dodržiavať všetky príslušné zákony a predpisy
• Dodržiavať zásady zodpovedného zverejnenia

Nahlasovanie

Podrobnosti o akýchkoľvek podozrivých zraniteľnostiach zašlite bezpečnostnému tímu FlowHunt na adresu support@flowhunt.io . Tieto informácie nezverejňujte verejne mimo tento postup bez výslovného povolenia.

Požiadavky na kvalitu hlásenia

Vaše hlásenie o zraniteľnosti by malo obsahovať:

• Súhrn: Stručný popis zraniteľnosti
• Dopad: Potenciálny bezpečnostný dopad a obchodné riziko
• Kroky na reprodukciu: Podrobný návod krok za krokom
• Dôkaz konceptu: Dôkazy preukazujúce zraniteľnosť
• Postihnuté časti: Konkrétne URL, parametre alebo komponenty
• Posúdenie závažnosti: Váš odhad úrovne závažnosti
• Návrhy na zmiernenie: Odporúčané opravy (voliteľné)

Ak chcete odoslať viacero hlásení naraz, pošlite prosím len jedno (najdôležitejšie ak je to možné) a počkajte na odpoveď.

Časový harmonogram odozvy

• Potvrdenie prijatia: Do 5 pracovných dní od odoslania hlásenia
• Počiatočné posúdenie: Do 10 pracovných dní
• Cieľ na vyriešenie: Do 90 dní pre platné zraniteľnosti
• Aktualizácie: Pravidelné informovanie o stave počas celého procesu

Odmena

S potešením ponúkame odmenu za informácie o zraniteľnostiach, ktoré nám pomáhajú chrániť našich zákazníkov, ako poďakovanie bezpečnostným výskumníkom, ktorí sa rozhodnú zúčastniť nášho programu odmeňovania za nahlasovanie chýb.

Klasifikácia závažnosti

Kritická závažnosť (100 $):

• Vzdialené spustenie kódu (RCE)
• SQL injekcia s prístupom k dátam
• Obídenie autentifikácie ovplyvňujúce viac používateľov
• Privilegiovaná eskalácia na úroveň administrátora
• Kompletné prevzatie účtu

Stredná závažnosť (50 $):

• Cross-site scripting (XSS) so závažným dopadom
• Obídenie prístupu ovplyvňujúce obmedzené údaje
• Prechádzanie adresárov s prístupom k súborom
• Zraniteľnosti v správe relácií
• Nezabezpečená autentifikácia ovplyvňujúca jednotlivých používateľov

Nízka závažnosť (Nie je oprávnená na odmenu):

• Menšie úniky informácií
• Self-XSS bez reálnej možnosti zneužitia
• Problémy s obmedzením rýchlosti (rate limiting)
• Chýbajúce bezpečnostné hlavičky bez možnosti zneužitia

Podmienky platby

• Odmeny sú vyplácané výhradne cez PayPal
• Účastníci programu musia vystaviť a zaslať PayPal faktúru
• Nie sú dostupné žiadne iné platobné metódy
• Platba bude spracovaná do 30 dní od prijatia faktúry
• Všetky platby podliehajú príslušným daňovým predpisom

Odmenu udelíme len prvému nahlasovateľovi danej zraniteľnosti. Duplicitné hlásenia nebudú odmenené.

Rozsah

V rozsahu

Testovať môžete iba na účte FlowHunt, ktorého ste vlastníkom, alebo ste agentom oprávneným vlastníkom účtu na takéto testovanie. Napríklad: vasadomena.flowhunt.io

Oprávnené aktíva:

• domény a subdomény *.flowhunt.io
• webové aplikácie a API FlowHunt
• mobilné aplikácie FlowHunt (ak sú dostupné)

Oprávnené typy zraniteľností:

• Vzdialené spustenie príkazu (RCE)
• SQL injekcia
• Nezabezpečená autentifikácia
• Nezabezpečená správa relácií
• Obídenie prístupových práv
• Cross-Site Scripting (XSS)
• Otvorená URL presmerovanie
• Prechádzanie adresárov
• Server-Side Request Forgery (SSRF)
• Chyby v obchodnej logike

Mimo rozsahu

Zakázané aktivity:

• Sociálne inžinierstvo (phishing, vishing, atď.)
• Fyzické útoky alebo fyzický prístup do priestorov FlowHunt
• Útoky na znefunkčnenie služby (DoS, DDoS)
• Spam, hromadná komunikácia alebo automatizované nástroje voči našim systémom
• Útoky na úrovni siete alebo skenovanie infraštruktúry
• Útoky vyžadujúce fyzický prístup k zariadeniam používateľov
• Hrubá sila alebo lámanie hesiel
• Testovanie na účtoch, ktoré nevlastníte alebo nemáte na testovanie výslovné povolenie

Neoprávnené nálezy:

• Hlásenia, kde útočník môže ohroziť len svoj účet
• XSS spôsobené administrátorom alebo privilegovaným používateľom
• Zraniteľnosti vyžadujúce nepravdepodobnú interakciu používateľa
• Problémy, ktoré vyžadujú inštaláciu škodlivého softvéru používateľom
• Teoretické zraniteľnosti bez jasnej možnosti zneužitia
• Falošné zobrazenie obsahu bez bezpečnostného dopadu
• Chýbajúce obmedzenie rýchlosti bez preukázateľného dopadu
• Problémy ovplyvňujúce len zastarané prehliadače alebo platformy

Pravidlá programu

Pokyny na testovanie

• Testujte iba na účtoch, ktoré vlastníte, alebo máte na testovanie výslovné povolenie
• Neukladajte, nemeníte ani nemažte údaje iných používateľov
• Nespôsobujte výpadok služieb ani neznižujte výkon systému
• Obmedzte automatizované testovanie, aby ste predišli narušeniu služby
• Nezverejňujte zraniteľnosti pred ich opravou
• Vynakladajte úsilie na zabránenie porušenia súkromia a zničeniu dát

Právna ochrana & Safe Harbor

FlowHunt sa zaväzuje:

• Nepodnikať právne kroky voči výskumníkom, ktorí dodržia tieto zásady
• Spolupracovať s výskumníkmi pri pochopení a overení bezpečnostných problémov
• Oceniť platné príspevky k našej bezpečnosti
• Zachovávať dôvernosť a nezdieľať identitu výskumníka bez povolenia

Výskumníci musia:

• Dodržiavať všetky platné zákony a predpisy
• Pristupovať len k údajom, ktoré sú nevyhnutné na preukázanie zraniteľnosti
• Nahlasovať zraniteľnosti promptne a v dobrej viere
• Nezneužívať zraniteľnosti nad rámec nutného preukázania

Časová os zverejnenia

• Okamžite: Hlásenie odoslané na support@flowhunt.io
• 90 dní: Štandardná lehota na zverejnenie po počiatočnom hlásení
• Koordinované: Verejné zverejnenie len po spoločnej dohode
• Naliehavé: Kritické zraniteľnosti môžu mať zrýchlený postup

Výskumníci môžu zverejniť zraniteľnosti verejne 90 dní po pôvodnom hlásení, alebo po potvrdení FlowHunt, že problém je vyriešený, podľa toho, čo nastane skôr. Podporujeme koordinované zverejnenie a radi budeme s výskumníkmi spolupracovať pri stanovení vhodného termínu.