INMAGINE Security Disclosure Policy

Мы серьезно относимся к безопасности наших систем и ценим безопасность наших пользователей, участников, клиентов и заказчиков. Раскрытие уязвимостей безопасности помогает нам обеспечить безопасность и конфиденциальность наших пользователей.

Руководящие принципы

Если вы посетили наш сайт и заметили какие-либо проблемы с безопасностью, вы обязаны:
  • Приложить все усилия, чтобы избежать нарушения конфиденциальности, ухудшения работы пользователей, сбоев в работе производственных систем и уничтожения данных во время тестирования безопасности;
  • использовать различные каналы связи для сообщения нам информации об уязвимостях; и
  • не раскрывать информацию об обнаруженных вами уязвимостях до тех пор, пока не пройдут [90] дней для решения проблемы со стороны INMAGINE.

Конфиденциальность

Любая информация, которую вы нашли или собрали об INMAGINE или любом пользователе INMAGINE с помощью ошибок безопасности, должна храниться в тайне и использоваться только для связи с нами. Доступ к частной информации других пользователей, выполнение действий, которые могут негативно повлиять на пользователей INMAGINE, строго запрещены. Запрещается использовать, разглашать или распространять такую Конфиденциальную информацию, включая, но не ограничиваясь , любой информацией, касающейся вашего Представления и информации, которую вы получаете, исследуя сайты INMAGINE, без предварительного письменного согласия INMAGINE.

В интересах безопасности наших пользователей, сотрудников, мы просим вас воздержаться от:
  • Спама.
  • Социальной инженерии (включая фишинг) сотрудников, подрядчиков или клиентов INMAGINE.
  • Любых физических покушений на имущество или центры обработки данных INMAGINE.
  • Криптомайнинг.
  • Доступ или попытки доступа к данным или информации, не принадлежащим вам.
  • Уничтожение или повреждение, или попытка уничтожения или повреждения данных или информации, которые не принадлежат вам.
  • Вызывание или попытка вызвать состояние отказа в обслуживании (DoS/DDoS).

Если вы следуете этим инструкциям и немедленно сообщите нам об этом, мы обязуемся:
  • Мы не будем инициировать судебные иски против исследователей безопасности, пытающихся обнаружить уязвимости в наших системах, которые придерживаются этой политики.

Как сообщить об уязвимости в системе безопасности?

Мы считаем, что все технологии содержат ошибки, и что общество играет решающую роль в выявлении этих ошибок. Если вы считаете, что нашли уязвимость безопасности в одном из наших продуктов или платформ, немедленно отправьте нам сообщение по электронной почте по адресу patrick@123rf.com. Пожалуйста, включите следующие данные в свой отчет:
  • Описание местоположения и потенциального воздействия уязвимости;
  • Подробное описание шагов, необходимых для воспроизведения уязвимости (скрипты POC, скриншоты и снимки экрана в сжатом виде - все это поможет нам); и
  • Ваше имя

Правомочность

Мы принимаем отчеты, основанные на степени тяжести не менее 6 по CVSS 3.1. Окончательная серьезность может быть скорректирована, чтобы отразить влияние сообщаемой уязвимости на наши домены.

Подробнее о баллах CVSS 3.1: https://www.first.org/cvss/calculator/3.1


В зоне ответственности

*.123rf.com

*.pixlr.com

*.designs.ai


Вне зоны ответсвенности

При сообщении об уязвимостях необходимо учитывать сценарий атаки / эксплуатационную пригодность, а также влияние ошибки на безопасность. Следующие вопросы рассматриваются вне рамок этой программы, и мы не будем принимать ни один из следующих типов атак:
  • Атаки типа "отказ в обслуживании
  • Спам, социальная инженерия или методы фишинга по электронной почте (например, фишинг, , смишинг).
  • Email-спуфинг
  • Любая уязвимость безопасности на стороне клиента (например, браузеры, плагины).
  • Раскрытие информации о версии ПО
  • Отражаемая загрузка файлов
  • Любые проблемы с физическим доступом
  • Общедоступные страницы
  • Любая слабость или раскрытие информации, не приводящее к прямой уязвимости
  • Перечисление по электронной почте или аккаунту
  • Выполнение команд CSV и слабые места CSP
  • Любые уязвимости в сторонних приложениях или веб-сайтах, как правило, не входят в сферу действия нашей Программы.

Изменения в условиях

Inmagine оставляет за собой право изменять или отменять эту Программу выплаты вознаграждений за ошибки и ее политику в любое время без предварительного уведомления.

Соответственно, Inmagine может в любое время изменить настоящие Условия и/или свою политику, разместив пересмотренную версию на веб-сайте Inmagine. Вы принимаете измененные Условия, если продолжаете участвовать в программе Bug Bounty Program после внесения изменений в Условия.