Политика ответственного раскрытия информации

На сайте eu4ua безопасность данных беженцев, хозяев и волонтеров является нашим приоритетом. Цель этой страницы ("Политика ответственного раскрытия информации") - предоставить вам всю необходимую информацию, если вы обнаружили потенциальную уязвимость в любом из наших продуктов или услуг.

Мы очень ценим помощь нашего сообщества и хотим убедиться, что любые раскрытия информации осуществляются ответственно. Пожалуйста, убедитесь, что вы следуете приведенным ниже условиям:

Вы можете отправить проблемы по адресу security@eu4ua.org и, пожалуйста, укажите следующую информацию:

  • затронутый URL или IP-адрес
  • описание проблемы, включая список шагов для воспроизведения проблемы
  • период времени, в течение которого вы могли наблюдать за проблемой

Поскольку мы являемся ассоциацией, обратите внимание, что мы не предлагаем программу "bug bounty". Это означает, что мы не выплачиваем вознаграждения за раскрытые уязвимости в системе безопасности.

SCOPE

Область применения включает все активы, находящиеся за eu4ua.org, кроме тех, которые относятся к третьим лицам.

ЧТО МЫ ПРОСИМ ОТ ВАС

  • При поиске потенциальных слабых мест в нашей системе, пожалуйста, убедитесь, что вы установили следующий заголовок. Это поможет нам отличить ваши тесты от злонамеренных.
X-Bug-Hunter: <nickname>

  • При отправке отчета не стесняйтесь сообщить нам IP-адрес, который вы использовали для тестирования.
  • Если вы обнаружили проблему, которая раскрывает личные данные (PII), вы должны обеспечить их удаление сразу же после раскрытия.
  • Вы не нарушаете никаких других применимых законов или правил.

ЧаВо

О чем я не должен сообщать?

  • Рекомендации по настройке Sender Policy Framework (SPF), DKIM и DMARC
  • Раскрытие известных публичных файлов или каталогов (например, robots.txt)
  • Баннерное раскрытие информации об общих/общественных услугах
  • Фишинговые или социально-инженерные атаки

Когда я получу от вас ответ после раскрытия информации?

Наша команда отправит вам ответ, чтобы сообщить, что мы получили ваше сообщение, и свяжется с вами, если нам понадобится дополнительная информация.

Могу ли я опубликовать что-либо об уязвимости после ее раскрытия?

После рассмотрения и устранения проблемы нашей командой, мы отправим вам письменное согласие на раскрытие проблемы.

Спасибо за вашу поддержку.