INMAGINE Security Disclosure Policy

Bezpieczeństwo naszych systemów traktujemy poważnie i cenimy sobie bezpieczeństwo naszych użytkowników, współpracowników, oraz klientów. Ujawnienie luk w zabezpieczeniach pomaga nam zapewnić bezpieczeństwo i prywatność naszych użytkowników.

Wytyczne

Jeśli odwiedzisz naszą stronę internetową i zauważysz jakiekolwiek problemy z bezpieczeństwem, wymagamy od wszystkich researcherów:
  • Dołożenia wszelkich starań, aby uniknąć naruszeń prywatności, pogorszenia komfortu użytkowania, zakłóceń w systemach produkcyjnych i niszczenia danych podczas testów bezpieczeństwa;
  • Korzystania ze zidentyfikowanych kanałów komunikacji w celu zgłaszania nam informacji o lukach; oraz
  • Zachowania informacji o wszelkich wykrytych w systemie INMAGINE lukach w tajemnicy, dopóki nie będziemy mieli [90] dni na rozwiązanie problemu.

Poufność

Wszelkie znalezione lub zebrane informacje o INMAGINE lub jakimkolwiek użytkowniku INMAGINE w wyniku błędów bezpieczeństwa, muszą być traktowane jako poufne i wykorzystywane wyłącznie w związku z nami. Dostęp do prywatnych informacji innych użytkowników, podejmowanie działań, które mogą mieć negatywny wpływ na użytkowników INMAGINE, jest surowo wzbroniony. Nie wolno wykorzystywać, ujawniać ani rozpowszechniać żadnych Informacji Poufnych, włączając w to, ale nie ograniczając się do, jakichkolwiek informacji dotyczących Twoich kontrybucji oraz informacji, które uzyskasz podczas przeglądania stron INMAGINE, bez uprzedniej pisemnej zgody INMAGINE.

W trosce o bezpieczeństwo naszych użytkowników i pracowników, prosimy o powstrzymanie się od:
  • Spamowania.
  • Inżynierii społecznej (w tym phishingu) personelu INMAGINE, kontrahentów lub klientów.
  • Wszelkich fizycznych prób skierowanych przeciwko własności INMAGINE lub centrom danych.
  • Wydobywania kryptowalut.
  • Uzyskiwania dostępu lub próby uzyskania dostępu do danych lub informacji, które nie należą do Ciebie.
  • Niszczenia lub uszkadzania danych lub informacji, które nie należą do Ciebie, lub podejmowania takich prób.
  • Spowodowania lub próby spowodowania stanu Denial of Service (DoS/DDoS).

Jeśli zastosujesz się do tych wytycznych i natychmiast zgłosisz się do nas, zobowiązujemy się do:
  • Nie podejmowania działań prawnych przeciwko security researcherom próbującym znaleźć luki w naszych systemach, którzy przestrzegają powyższych zasad.

Jak zgłaszać luki w zabezpieczeniach?

Uważamy, że wszystkie technologie zawierają błędy i że społeczeństwo odgrywa kluczową rolę w ich identyfikacji. Jeśli uważasz, że znalazłeś lukę w zabezpieczeniach w jednym z naszych produktów lub platform, powiadom nas natychmiast, wysyłając wiadomość e-mail na adres patrick@123rf.com. Prosimy o dołączenie do raportu następujących danych:
  • Opis lokalizacji i potencjalnego wpływu podatności na zagrożenia;
  • Szczegółowy opis kroków wymaganych do odtworzenia podatności (przydatne są skrypty POC, zrzuty ekranu i skompresowane zrzuty ekranu); oraz
  • Twoje imię i nazwisko/pseudonim

Kwalifikowalność

Przyjmujemy raporty oparte na surowości nie mniejszej niż 6 na CVSS 3.1. Ostateczna surowość może zostać skorygowana w celu odzwierciedlenia wpływu zgłoszonej podatności na zagrożenia na nasze domeny.

Więcej na temat punktacji CVSS 3.1: https://www.first.org/cvss/calculator/3.1


W zakresie

*.123rf.com

*.pixlr.com

*.designs.ai


Poza zakresem stosowania

Zgłaszając luki, należy wziąć pod uwagę scenariusz ataku/możliwość wykorzystania oraz wpływ błędu na bezpieczeństwo. Poniższe kwestie są uważane za wykraczające poza zakres niniejszego Programu i nie będziemy akceptować żadnego z poniższych typów ataków:
  • Ataki typu Denial-of-service
  • Spam, socjotechnika lub techniki phishingu pocztą elektroniczną (np. phishing, vishing, smishing)
  • Email spoofing
  • Wszelkie luki w zabezpieczeniach po stronie klienta (np. przeglądarki, wtyczki)
  • Ujawnienie wersji oprogramowania
  • Odzwierciedlone pobieranie plików
  • Wszelkie kwestie związane z fizycznym dostępem
  • Publicznie dostępne strony
  • Wszelkie słabości lub ujawnienie informacji, które nie prowadzą do bezpośredniej podatności na zagrożenia
  • Email lub numer konta
  • Wykonywanie poleceń CSV i słabe punkty CSP
  • Wszelkie luki w aplikacjach lub witrynach internetowych osób trzecich nie są objęte zakresem naszego programu.

Zmiany w Warunkach

Inmagine zastrzega sobie prawo do zmiany lub anulowania niniejszego Programu Bug Bounty i jego zasad w dowolnym czasie, bez uprzedniego powiadomienia.

W związku z tym, Inmagine może w każdej chwili zmienić niniejsze Warunki i/lub politykę poprzez opublikowanie zmienionej wersji na stronie internetowej Inmagine. Użytkownik akceptuje zmienione Warunki, jeśli nadal uczestniczy w Programie Bug Bounty po wprowadzeniu zmian w Warunkach.