INMAGINE Политика раскрытия информации о безопасности
Мы серьезно относимся к безопасности наших систем и ценим безопасность наших пользователей, участников, клиентов и заказчиков. Раскрытие уязвимостей безопасности помогает нам обеспечить безопасность и конфиденциальность наших пользователей.
Если вы посетили наш сайт и заметили какие-либо проблемы с безопасностью, вы обязаны:
Любая информация, которую вы нашли или собрали об INMAGINE или любом пользователе INMAGINE с помощью ошибок безопасности, должна храниться в тайне и использоваться только для связи с нами. Доступ к частной информации других пользователей, выполнение действий, которые могут негативно повлиять на пользователей INMAGINE, строго запрещены. Запрещается использовать, разглашать или распространять такую Конфиденциальную информацию, включая, но не ограничиваясь , любой информацией, касающейся вашего Представления и информации, которую вы получаете, исследуя сайты INMAGINE, без предварительного письменного согласия INMAGINE.
В интересах безопасности наших пользователей, сотрудников, мы просим вас воздержаться от:
Если вы следуете этим инструкциям и немедленно сообщите нам об этом, мы обязуемся:
Как сообщить об уязвимости в системе безопасности?
Мы считаем, что все технологии содержат ошибки, и что общество играет решающую роль в выявлении этих ошибок. Если вы считаете, что нашли уязвимость безопасности в одном из наших продуктов или платформ, немедленно отправьте нам сообщение по электронной почте по адресу patrick@123rf.com. Пожалуйста, включите следующие данные в свой отчет:
Мы принимаем отчеты, основанные на степени тяжести не менее 6 по CVSS 3.1. Окончательная серьезность может быть скорректирована, чтобы отразить влияние сообщаемой уязвимости на наши домены.
Подробнее о баллах CVSS 3.1: https://www.first.org/cvss/calculator/3.1
*.123rf.com
*.pixlr.com
*.designs.ai
При сообщении об уязвимостях необходимо учитывать сценарий атаки / эксплуатационную пригодность, а также влияние ошибки на безопасность. Следующие вопросы рассматриваются вне рамок этой программы, и мы не будем принимать ни один из следующих типов атак:
Inmagine оставляет за собой право изменять или отменять эту Программу выплаты вознаграждений за ошибки и ее политику в любое время без предварительного уведомления.
Соответственно, Inmagine может в любое время изменить настоящие Условия и/или свою политику, разместив пересмотренную версию на веб-сайте Inmagine. Вы принимаете измененные Условия, если продолжаете участвовать в программе Bug Bounty Program после внесения изменений в Условия.
Руководящие принципы
Если вы посетили наш сайт и заметили какие-либо проблемы с безопасностью, вы обязаны:
- Приложить все усилия, чтобы избежать нарушения конфиденциальности, ухудшения работы пользователей, сбоев в работе производственных систем и уничтожения данных во время тестирования безопасности;
- использовать различные каналы связи для сообщения нам информации об уязвимостях; и
- не раскрывать информацию об обнаруженных вами уязвимостях до тех пор, пока не пройдут [90] дней для решения проблемы со стороны INMAGINE.
Конфиденциальность
Любая информация, которую вы нашли или собрали об INMAGINE или любом пользователе INMAGINE с помощью ошибок безопасности, должна храниться в тайне и использоваться только для связи с нами. Доступ к частной информации других пользователей, выполнение действий, которые могут негативно повлиять на пользователей INMAGINE, строго запрещены. Запрещается использовать, разглашать или распространять такую Конфиденциальную информацию, включая, но не ограничиваясь , любой информацией, касающейся вашего Представления и информации, которую вы получаете, исследуя сайты INMAGINE, без предварительного письменного согласия INMAGINE.
В интересах безопасности наших пользователей, сотрудников, мы просим вас воздержаться от:
- Спама.
- Социальной инженерии (включая фишинг) сотрудников, подрядчиков или клиентов INMAGINE.
- Любых физических покушений на имущество или центры обработки данных INMAGINE.
- Криптомайнинг.
- Доступ или попытки доступа к данным или информации, не принадлежащим вам.
- Уничтожение или повреждение, или попытка уничтожения или повреждения данных или информации, которые не принадлежат вам.
- Вызывание или попытка вызвать состояние отказа в обслуживании (DoS/DDoS).
Если вы следуете этим инструкциям и немедленно сообщите нам об этом, мы обязуемся:
- Мы не будем инициировать судебные иски против исследователей безопасности, пытающихся обнаружить уязвимости в наших системах, которые придерживаются этой политики.
Как сообщить об уязвимости в системе безопасности?
Мы считаем, что все технологии содержат ошибки, и что общество играет решающую роль в выявлении этих ошибок. Если вы считаете, что нашли уязвимость безопасности в одном из наших продуктов или платформ, немедленно отправьте нам сообщение по электронной почте по адресу patrick@123rf.com. Пожалуйста, включите следующие данные в свой отчет:
- Описание местоположения и потенциального воздействия уязвимости;
- Подробное описание шагов, необходимых для воспроизведения уязвимости (скрипты POC, скриншоты и снимки экрана в сжатом виде - все это поможет нам); и
- Ваше имя
Правомочность
Мы принимаем отчеты, основанные на степени тяжести не менее 6 по CVSS 3.1. Окончательная серьезность может быть скорректирована, чтобы отразить влияние сообщаемой уязвимости на наши домены.
Подробнее о баллах CVSS 3.1: https://www.first.org/cvss/calculator/3.1
В зоне ответственности
*.123rf.com
*.pixlr.com
*.designs.ai
Вне зоны ответсвенности
При сообщении об уязвимостях необходимо учитывать сценарий атаки / эксплуатационную пригодность, а также влияние ошибки на безопасность. Следующие вопросы рассматриваются вне рамок этой программы, и мы не будем принимать ни один из следующих типов атак:
- Атаки типа отказ в обслуживании
- Спам, социальная инженерия или методы фишинга по электронной почте (например, фишинг, , смишинг).
- Email-спуфинг
- Любая уязвимость безопасности на стороне клиента (например, браузеры, плагины).
- Раскрытие информации о версии ПО
- Отражаемая загрузка файлов
- Любые проблемы с физическим доступом
- Общедоступные страницы
- Любая слабость или раскрытие информации, не приводящее к прямой уязвимости
- Email or account enumeration
- Перечисление по электронной почте или аккаунту
- Выполнение команд CSV и слабые места CSP
Изменения в условиях
Inmagine оставляет за собой право изменять или отменять эту Программу выплаты вознаграждений за ошибки и ее политику в любое время без предварительного уведомления.
Соответственно, Inmagine может в любое время изменить настоящие Условия и/или свою политику, разместив пересмотренную версию на веб-сайте Inmagine. Вы принимаете измененные Условия, если продолжаете участвовать в программе Bug Bounty Program после внесения изменений в Условия.