Политика сообщения об уязвимостях

Эта политика объясняет, как подать сообщение об уязвимости, какие системы входят в область действия, какие проверки не принимаются и чего можно ожидать от нас в процессе.

Как сообщить об уязвимости

Если ты считаешь, что выявил уязвимость, отправь, пожалуйста, своё сообщение по следующему адресу:

[email protected]

Чем понятнее, технически точнее и воспроизводимее твоё сообщение, тем быстрее мы сможем оценить проблему.

По возможности укажи в сообщении следующую информацию:

• Затронутая веб-страница, экран приложения, операция API или системный компонент
• Шаги для воспроизведения проблемы
• Разница между ожидаемым и наблюдаемым поведением
• Возможное влияние уязвимости
• Используемое устройство, операционная система, браузер или версия приложения
• При наличии — скриншоты, короткое видео, логи или proof-of-concept
• Описание того, как уязвимость можно подтвердить, не злоупотребляя ею

Пожалуйста, не включай в сообщение реальные данные пользователей, ненужные персональные данные, информацию о чужих учётных записях или конфиденциальный контент. Если для подтверждения уязвимости достаточно минимального объёма информации, не собирай и не передавай больше.

Активы в области действия

Эта политика распространяется на цифровые активы, которыми CardWho управляет и которые контролирует напрямую.

В область действия обычно входят:

• Официальные веб-сайты CardWho
• Официальные субдомены, эксплуатируемые CardWho
• Официальные мобильные приложения CardWho для iOS и Android
• API-сервисы CardWho
• Административные панели CardWho
• Другие официальные приложения, сервисы и системные компоненты, эксплуатируемые CardWho

Область действия ограничивается системами, которые CardWho контролирует напрямую. Системы, эксплуатируемые сторонними поставщиками, рассматриваются только в части уязвимостей, возникающих из-за конфигурации или интеграции на стороне CardWho и напрямую затрагивающих пользователей CardWho.

Активы и сервисы вне области действия

Следующие системы и сервисы находятся вне непосредственной области действия этой политики:

• Apple App Store
• Google Play
• Cloudflare
• OVH
• Поставщики платёжной инфраструктуры
• Поставщики услуг электронной почты
• Инструменты аналитики, уведомлений, отслеживания ошибок или маркетинга
• Сторонние веб-сайты, API, приложения и сервисы, не эксплуатируемые CardWho

Уязвимости, выявленные в таких сторонних сервисах, следует сообщать по собственным каналам раскрытия информации соответствующего поставщика.

Однако если ты выявил риск безопасности, возникающий из-за конфигурации интеграции со стороны CardWho и напрямую затрагивающий пользователей CardWho, ты можешь сообщить об этом нам.

Принимаемые типы уязвимостей

Следующие типы уязвимостей могут считаться входящими в область действия:

• Несанкционированный доступ
• Ошибки в аутентификации или управлении сеансами
• Уязвимости повышения привилегий
• Доступ к данным между пользователями
• Несанкционированное раскрытие конфиденциальных данных
• Уязвимости API
• Серверные уязвимости
• Уязвимости мобильных приложений
• Ошибки бизнес-логики
• Неверные конфигурации с явно демонстрируемым влиянием на безопасность
• Уязвимости с влиянием на безопасность процессов оплаты, подписки или учётной записи
• Проблемы, затрагивающие приватность пользователя или целостность данных

Чтобы находка считалась входящей в область действия, она должна иметь реалистичное и объяснимое влияние на безопасность.

Находки вне области действия

Следующие сообщения, как правило, считаются вне области действия:

• Результаты автоматических сканеров без демонстрируемого влияния на безопасность
• Отсутствие HTTP-заголовков информационного характера
• Раскрытие версий без доказанного влияния на безопасность
• Теоретические проблемы без подтверждаемого влияния
• Находки Self-XSS с ограниченным влиянием на безопасность, требующие действий пользователя
• Сценарии, требующие уже скомпрометированных устройства, браузера, ОС или учётной записи
• Социальная инженерия
• Попытки фишинга
• Тесты физической безопасности
• Тесты, направленные на сотрудников, пользователей, партнёров или поставщиков
• Атаки типа «отказ в обслуживании»
• Тесты, создающие значительный трафик
• Brute force, credential stuffing или подбор паролей
• Спам, массовые рассылки, массовые отправки форм или автоматизированные регистрации
• Скачивание, изменение, удаление или раскрытие реальных пользовательских данных
• Уязвимости в собственной инфраструктуре сторонних поставщиков
• Домены, приложения или системы, не эксплуатируемые CardWho
• Проблемы, затрагивающие только устройство или локальную среду пользователя
• Рекомендации по «лучшим практикам» без явного влияния на безопасность

CardWho оставляет за собой право не рассматривать сообщения без влияния на безопасность, неподтверждаемые или находящиеся вне области действия.

Правила проведения исследования безопасности

При исследовании безопасности мы ожидаем соблюдения следующих правил:

• Тестируй только системы в области действия.
• Проводи тесты с минимальным влиянием.
• Не пытайся получать доступ к реальным пользовательским данным, скачивать, изменять или удалять их.
• Проводи минимальное количество тестов, необходимое для подтверждения уязвимости.
• Избегай тестов, которые могут нарушить работу систем.
• Не выполняй действий, которые могут вызвать сбои, снижение производительности или потерю данных.
• Не пытайся получить доступ к учётным записям, данным или устройствам других пользователей.
• Не используй социальную инженерию, фишинг, физические атаки или методы, нацеленные на сотрудников.
• Предоставь нам разумное время для оценки и устранения до публичного раскрытия.
• Не передавай информацию об уязвимости третьим лицам.
• Используй полученные сведения только для сообщения об уязвимости.

Поведение, нарушающее эти правила, не считается исследованием безопасности в духе доброй веры в рамках этой политики.

Наш процесс реагирования

При получении валидного сообщения о безопасности мы стараемся рассмотреть его как можно скорее.

Наши целевые сроки реагирования:

Этап	Целевой срок
Подтверждение получения сообщения	В течение 2 рабочих дней
Первичная техническая оценка	В течение 7 календарных дней
Оценка приоритета и влияния	В течение 10 календарных дней
Исправление или смягчение для критических находок	Цель: 14 дней
Исправление или смягчение для высокоприоритетных находок	Цель: 30 дней
Находки средней и низкой важности	Планируются с учётом риска, влияния и технического объёма

Эти сроки являются ориентирами. Они могут меняться в зависимости от сложности уязвимости, зависимостей от третьих лиц, процессов согласования с платформами, проверок магазинов мобильных приложений или технических требований.

При необходимости мы можем запросить у тебя дополнительную информацию. Оценка сообщения зависит от достаточности предоставленных сведений и проверяемости влияния на безопасность.

Приоритизация

При оценке уязвимостей мы учитываем следующие критерии:

• Влияние на пользовательские данные
• Вероятность несанкционированного доступа
• Количество затронутых пользователей или систем
• Эксплуатируемость уязвимости
• Возможность удалённой эксплуатации
• Влияние на непрерывность бизнеса и надёжность сервиса
• Влияние на безопасность платежей, подписок или учётных записей
• Существующие меры смягчения

CardWho определяет приоритет и уровень критичности уязвимости на основании собственной технической и операционной оценки.

Публичное раскрытие

Публичное раскрытие сообщённых уязвимостей должно происходить только при наличии предварительного письменного согласия CardWho.

Пожалуйста, не раскрывай уязвимость публично до тех пор, пока:

• Сообщение не дошло до нас
• Уязвимость не была технически оценена
• Не было применено необходимое исправление или смягчение
• Не были согласованы время и содержание раскрытия

При уместности и по твоей просьбе мы можем публично выразить признательность за твой вклад. Однако из соображений безопасности пользователей, конфиденциальности данных, продолжающихся расследований или риска злоупотреблений публичное раскрытие может не состояться.

Сообщения в духе доброй веры

В рамках этой политики мы положительно оцениваем исследования, проведённые в духе доброй веры, остающиеся в области действия, не наносящие ущерба пользовательским данным, не нарушающие непрерывность сервиса и ответственно сообщающие об уязвимости.

Исследование безопасности в духе доброй веры означает:

• Тесты ограничены системами в области действия
• К пользовательским данным не осуществляется несанкционированный доступ
• Если доступ всё же произошёл — данные не просматриваются, не копируются, не хранятся и не передаются
• Сервис не прерывается
• Уязвимость не эксплуатируется во зло
• Информация об уязвимости не передаётся третьим лицам
• CardWho предоставляется разумное время для оценки и устранения

Эта политика не разрешает злонамеренные действия, утечки данных, нарушения сервиса, причинение вреда третьим лицам или тестирование систем вне области действия.

CardWho оставляет за собой право оценивать каждое сообщение по существу и сохранять свои законные права при необходимости.

Конфиденциальность и защита данных

Персональные данные, которые ты передаёшь нам в рамках сообщения об уязвимости, обрабатываются исключительно для оценки твоего сообщения, связи с тобой, проверки и устранения уязвимости и ведения необходимых записей.

Пожалуйста, избегай передачи в сообщении персональных данных третьих лиц. Если при проверке уязвимости ты заметил, что получил доступ к персональным данным, немедленно прекрати такой доступ и явно укажи это в сообщении.

CardWho может использовать информацию, полученную в процессе сообщения о безопасности, для обеспечения безопасности пользователей, защиты своих систем и выполнения юридических обязанностей.

Контакты

По вопросам уязвимостей и сообщений, связанных с безопасностью, ты можешь связаться с нами по адресу:

[email protected]

Для общей поддержки, сотрудничества или пользовательских запросов вне сообщений о безопасности используй официальную контактную форму CardWho.