INMAGINE Security Disclosure Policy

Bereme zabezpečení našich systémů vážně a vážíme si bezpečnosti našich uživatelů, přispěvatelů, klientů a zákazníků. Zveřejnění bezpečnostních slabin nám pomáhá zajistit bezpečnost a soukromí našich uživatelů.

Pokyny

Pokud navštívíte náš web a všimnete si chyby zabezpečení, požadujeme, aby všichni výzkumní pracovníci:
  • Vynaložili veškeré úsilí, aby během testování zabezpečení nedošlo k narušení soukromí, zhoršení uživatelského pohdlí, narušení produkčních systémů a zničení dat;
  • Používali identifikované komunikační kanály k nahlášení informací o chybách zabezpečení; a
  • Udržovali v tajnosti mezi vámi a společností INMAGINE informace o všech slabinách, které objevili, dokud nebudeme mít [90] dní na vyřešení problému.

Důvěrnost

Veškeré informace, které jste našli nebo shromáždili o INMAGINE nebo jakémkoli uživateli společnosti INMAGINE prostřednictvím bezpečnostních chyb, musí být zachovány jako důvěrné a použity pouze v souvislosti s námi. Přístup k soukromým informacím ostatních uživatelů a provádění akcí, které mohou negativně ovlivnit INMAGINE uživatele, jsou přísně zakázány. Bez předchozího písemného souhlasu společnosti INMAGINE nesmíte používat, zveřejňovat ani distribuovat žádné takové důvěrné informace, včetně, ale bez omezení, jakýchkoli informací týkajících se příspěvků a informací, které získáte při průzkumu stránek společnosti INMAGINE.

V zájmu bezpečnosti našich uživatelů, zaměstnanců vás žádáme, abyste se zdrželi:
  • Spamování.
  • Sociálního inženýrství (včetně phishingu) zaměstnanců INMAGINE nebo dodavatelů nebo klientů.
  • Jakýchkoliv fyzických pokusů proti majetku INMAGINE nebo datovým centrům.
  • Kryptominování.
  • Přístupu, nebo pokusu o přístup, k datům nebo informacím, které vám nepatří.
  • Zničení nebo poškození, nebo pokusu o zničení či poškození, údajů nebo informací, které vám nepatří.
  • Způsobení, nebo pokus o způsobení stavu Odepření služby (DoS / DDoS).

Pokud budete postupovat podle těchto pokynů a budete nám to okamžitě hlásit, zavazujeme se, že:
  • Nebudeme iniciovat právní kroky proti výzkumným pracovnímkům, kteří se pokoušejí najít slabá místa v našich systémech a kteří dodržují tyto zásady.

Jak nahlásit chybu zabezpečení?

Víme, že všechny technologie obsahují chyby a že veřejnost hraje klíčovou roli při identifikaci těchto chyb. Pokud se domníváte, že jste našli bezpečnostní chybu v jednom z našich produktů nebo platforem, okamžitě nám ji pošlete e-mailem na adresu patrick@123rf.com. Do zprávy uveďte prosím následující podrobnosti:
  • Popis místa a potenciálního dopadu slabiny;
  • Podrobný popis kroků potřebných k reprodukci chyby zabezpečení (POC skripty, snímky obrazovky a komprimované snímky obrazovky jsou pro nás užitečné); a
  • Vaše jméno

Způsobilost

Přijímáme zprávy založené na závažnosti nejméně 6 z CVSS 3.0. Konečnou závažnost lze upravit tak, aby odrážela dopad nahlášené chyby zabezpečení na naše domény.

Další informace o bodování CVSS 3.0: https://www.first.org/cvss/calculator/3.0


V rozsahu

*.123rf.com

*.pixlr.com

*.designs.ai


Mimo rozsah

Při hlášení slabin berte v úvahu scénář útoku / zneužitelnost útoku a bezpečnostní dopad chyby. Následující problémy jsou považovány za mimo rozsah tohoto programu a nepřijmeme žádný z následujících typů útoků:
  • Útoky Odepření služby
  • Techniky spamu, sociálního inženýrství nebo e-mailu (např. phishingu, vishingu, smishingu)
  • E-mail spoofing
  • Jakákoli chyba zabezpečení na straně klienta (např. prohlížeče, doplňků)
  • Zveřejnění verze softwaru
  • Odražené stažení souboru
  • Jakékoli problémy s fyzickým přístupem
  • Veřejně přístupné stránky
  • Jakákoli slabina nebo vyzrazení informací, které nevedou k přímému narušení bezpečnosti
  • Email nebo výčet účtu
  • Provádění příkazů CSV a slabiny CSP
  • Jakékoli chyby zabezpečení v aplikacích nebo webech třetích stran obecně nespadají do rozsahu našeho programu.

Změny podmínek

Společnost Inmagine si vyhrazuje právo kdykoli upravit nebo zrušit tento program Bug Bounty a jeho zásady bez předchozího upozornění.

V souladu s tím může společnost Inmagine kdykoli změnit tyto podmínky a/nebo své zásady zveřejněním revidované verze na webových stránkách společnosti Inmagine. Upravené podmínky přijímáte, pokud se i nadále účastníte programu Bug Bounty po provedení změn podmínek.