Політика інформування про вразливості

Як повідомити нам про знайдені вразливості?

Поінформувати нас про потенційні вразливості у Crowdin можна електронним листом на адресу support@crowdin.com. Опишіть знайдену вразливість якомога докладніше — так наша команда спеціалістів з питань безпеки матиме змогу перевірити її та відтворити потенційно небезпечну ситуацію.

Зала слави

Нижче наведено перелік людей, що допомогли зробити Crowdin безпечнішим для тисяч наших користувачів. Дякуємо їм від щирого серця. Подивитися зал слави

Що ми шукаємо

Повідомляючи про вразливість, не забудьте додати технічний опис проблеми — так ми матимемо змогу визначити її наслідки й оцінити, чи можна нею скористатися.

  • Опишіть по крокам, як можна відтворити потенційно небезпечну ситуацію, навівши URL-адреси або код, якими користувалися.
  • Якщо ви повідомляєте про міжсайтові скрипти (XSS), ваш експлойт повинен хоча б показувати спливаюче сповіщення в браузері. Набагато краще, якщо XSS-експлойт показує аутентифікаційні cookie користувача.
  • Інформуючи про можливість міжсайтової підробки запросів (cross-site request forgery, CSRF), наведіть відповідний випадок, коли авторизована на сервісі жертва виконує якусь дію через вплив третьої сторони.
  • Коли мова йде про SQL-ін’єкції, нам хотілося б щоб експлойт не тільки призводив до виводу попередження, але й вивантажував дещо з бази даних.
  • Повідомлення про можливість перехоплення HTTP-запитів/відповідей або пакетів — також корисна інформація.
  • Не надсилайте нам посилання на веб-сторінки, які не є частиною Crowdin, або повідомлення у файлах з розширеннями *.pdf, *.doc, *.exe тощо. Проте до листів можна додавати зображення. Переконайтеся, що помилку може використати хтось інший, а не користувач (наприклад, “self-XSS”).

Що ми не шукаємо

  • Описові повідомлення про помилки (наприклад, помилки програми або сервера).
  • справа стосується кодів або сторінок HTTP 404 та інших подібних — для нас важливі лише коди чи сторінки HTTP 2xx,
  • воно стосується розкриття інформації про загальнодоступні сервіси, що розкривається при з’єднанні
  • Розкриття відомих загальнодоступних файлів або каталогів (наприклад, robots.txt).
  • мова про клікджекінг та вади, якими можна скористатися за його допомогою,
  • CSRF у формах, доступних анонімним користувачам (наприклад, контактна форма).
  • Підробка міжсайтового запиту виходу (вихід CSRF).
  • Наявність функції «автозаповнення» або «збереження пароля» програми або браузера.
  • Відсутність прапорців файлів cookie Secure і HTTPOnly.
  • Відсутність Security Speedbump при виході з сайту.
  • Слабка Captcha / Captcha Bypass.
  • Перерахування імені користувача через повідомлення про помилку на сторінці входу.
  • Перерахування імені користувача через повідомлення про помилку «Забули пароль».
  • Підбір і блокування облікового запису не застосовуються.
  • використовуються HTTP-методи OPTIONS або TRACE,
  • йдеться про атаки на SSL: BEAST, BREACH, вразливість функції повторного підтвердження SSL (SSL renegotiation) тощо,
  • пряму секретність SSL було вимкнуто,
  • використовувалися ненадійні набори алгоритмів SSL,
  • проблема пов’язана з заголовком X-Content-Type-Options (дає змогу попередити сканування MIME).
  • йдеться зокрема про відсутність безпекових HTTP-заголовків.

Інформування про вразливості — Угода

Перш ніж тестувати вразливості та сповіщати нас про них, ознайомтеся з наведеною нижче угодою. Crowdin зобов’язується не притягувати до відповідальності в суді дослідників, які намагалися або змогли подолати нашу систему захисту, за умови, що вони дотримувалися цих вказівок.

Crowdin не допускає такі типи досліджень безпеки

Ми схвалюємо охочість знаходити та повідомляти про вразливості та сподіваємося, що ви поставитися до цього відповідально. Проте, ми категорично забороняємо:

  • будь-які дії, що можуть негативно позначитися на сервісі Crowdin або його користувачах,
  • отримувати доступ до даних або інформації, які вам не належать, або намагатися це робити,
  • знищувати чи псувати дані або інформацію, які вам не належать, або намагатися це робити,
  • здійснювати фізичний або електронний напад на сервіс Crowdin, а також спеціалістів, власність і обчислювальні центри компанії,
  • Соціальна інженерія стосовно будь-якої служби підтримки, співробітника або підрядника Crowdin.
  • проводити тестування на уразливість сервісів, яких стосується ця політика, не через тестові облікові записи,
  • порушувати законодавство або будь-які угоди задля виявлення вразливостей.

Зобов’язання команди спеціалістів Crowdin з безпеки

Ми просимо не публікувати інформацію про незакриті вразливості та не ділитися нею з третіми сторонами будь-яким іншим спрособом. За умови відповідального подання звіту про вразливість, команда спеціалістів Crowdin з безпеки й пов’язані з компанією підприємства-розробники докладуть потрібних зусиль, щоби:

  • вчасно сповістити вас про отримання вашого повідомлення про вразливість,
  • надати орієнтовні терміни розгляду наданої інформації про вразливість,
  • повідомити вас про закриття вразливості, про яку ви повідмили,
  • Ми раді подякувати особисто кожному, хто надасть інформацію про вразливості, за те, що допомогли зробити Crowdin безпечнішим.

Зверніть увагу, що відправляючи нам повідомлення про уразливість, ви надаєте нам безстрокову, всесвітню, безоплатну, безвідкличну і не виключне право, а також право використовувати, змінювати і включати вашу заявку або її частини в наші продукти, послуги, або тест-системи без будь -або подальших зобов’язань або повідомлень.

Ми будемо вдячні за будь-яку додаткову відповідну технічну інформацію, які у вас є, особливо якщо відтворення проблеми складне. Якщо ми не зможемо її відтворити, ми не зможемо винагородити вас. Однак, немає необхідності описувати їх вплив на безпеку вашого перебування - ми розуміємо ризики безпеки, і ми можемо це з’ясувати. Нам потрібні тільки технічні деталі.

Нагороди

Ми підтримуємо гнучкість нашої системи нагород; нагороди залежать від серйозності, впливу та якості звіту. Наприклад, ми можемо надати вам купон, щоб отримати знижку Crowdin Swag. Залежно від того, що ви виявите, ми можемо розмістити повідомлення про вас в Залі слави. Якщо ви віддаєте перевагу залишитися анонімом, ми, звичайно, це поважаємо.

У нас є конкретні речі, які ми шукаємо (і не дуже) - так що перевірте що ми шукаємо.

Якщо ви докладаєте кілька питань, які дублюють в різних місцях (наприклад, один і той же код працює на різних вузлах або платформ), або частини більш великої проблеми, можуть бути об’єднані в одну і тільки одну нагороду.

Якщо хтось вже повідомляв раніше, ми дамо вам знати після того, як проблема була усунена. Якщо ряд дослідників повідомляють те ж питання, ми тільки винагороджуємо відправнику перший звіт, який надає нам досить технічних подробиць для відтворення пошуку. Ми знаємо, що це дасть нам шпаринку, щоб ствердити, що все це було вже раніше встановлено, але повірте нам, ми хочемо бути чесними.

Нагорода не буде надана, якщо про знахідку дізнається будь-хто інший, крім вас чи нас, до того, як її буде виправлено.

Ви завжди можете відстежувати, як просувається ваше запитання. Для цього зв’яжіться з командою безпеки Crowdin: support@crowdin.com