Політика інформування про вразливості

Як повідомити нас про знайдені вразливості?

Поінформувати нас про потенційні вразливості у Crowdin можна електронним листом на адресу support@crowdin.com. Опишіть знайдену вразливість якомога докладніше — так наша команда спеціалістів з питань безпеки матиме змогу перевірити її та відтворити потенційно небезпечну ситуацію.

Зала слави

Нижче наведено перелік людей, що допомогли зробити Crowdin безпечнішим для тисяч наших користувачів. Дякуємо їм від щирого серця. Подивитися зал слави

Що ми шукаємо

Повідомляючи про вразливість, не забудьте додати технічний опис проблеми — так ми матимемо змогу визначити її наслідки й оцінити, чи можна нею скористатися.

  • Опишіть по крокам, як можна відтворити потенційно небезпечну ситуацію, навівши URL-адреси або код, якими користувалися.
  • Якщо ви повідомляєте про міжсайтові скрипти (XSS), ваш експлойт повинен хоча б показувати спливаюче сповіщення в браузері. Набагато краще, якщо XSS-експлойт показує аутентифікаційні cookie користувача.
  • Інформуючи про можливість міжсайтової підробки запросів (cross-site request forgery, CSRF), наведіть відповідний випадок, коли авторизована на сервісі жертва виконує якусь дію через вплив третьої сторони.
  • Коли мова йде про SQL-ін’єкції, нам хотілося б щоб експлойт не тільки призводив до виводу попередження, але й вивантажував дещо з бази даних.
  • Повідомлення про можливість перехоплення HTTP-запитів/відповідей або пакетів — також корисна інформація.
  • Не надсилайте нам посилання на веб-сторінки, які не є частиною Crowdin, або повідомлення у файлах з розширеннями *.pdf, *.doc, *.exe тощо. Проте до листів можна додавати зображення. Переконайтеся, що вада доступна не лише власне користувачеві (як у випадку self-XSS).

Що ми не шукаємо

  • додано описові повідомлення про помилку (як-от помилку застосунка або сервера),
  • справа стосується кодів або сторінок HTTP 404 та інших подібних — для нас важливі лише коди чи сторінки HTTP 2xx,
  • воно стосується розкриття інформації про загальнодоступні сервіси, що розкривається при з’єднанні
  • йдеться про розкриття відомих загальнодоступних файлів та тек (як-от robots.txt),
  • мова про клікджекінг та вади, якими можна скористатися за його допомогою,
  • повідомляєте про міжсайтову підробку запитів у формах, що доступні анонімним користувачам (наприклад, форма для відгуків),
  • справа стосується міжсайтової підробки запитів на вихід із системи (Logout CSRF),
  • задіяно функціонал автозаповнення полів та збереження паролів у браузері,
  • відсутні прапорці куки Secure та HTTPOnly,
  • не показується сторінка безпеки при переході за посиланням на інший вебсайт,
  • використовувався неефективний CAPTCHA-тест або його обійшли
  • ім’я користувача визначено методом перебору, зважаючи на повідомлення про помилки на сторінці авторизації,
  • ім’я користувача визначено методом підбору, зважаючи на повідомлення про помилку під час відновленя паролю,
  • йдеться про випадки атак перебором на сторінки авторизації та відновлення паролю, коли обліковку користувача не було автоматично заблоковано,
  • використовуються HTTP-методи OPTIONS або TRACE,
  • йдеться про атаки на SSL: BEAST, BREACH, вразливість функції повторного підтвердження SSL (SSL renegotiation) тощо,
  • пряму секретність SSL було вимкнуто,
  • використовувалися ненадійні набори алгоритмів SSL,
  • проблема пов’язана з заголовком X-Content-Type-Options (дає змогу попередити сканування MIME).
  • йдеться зокрема про відсутність безпекових HTTP-заголовків.

Інформування про вразливості — Угода

Перш ніж тестувати вразливості та сповіщати нас про них, ознайомтеся з наведеною нижче угодою. Crowdin зобов’язується не притягувати до відповідальності в суді дослідників, які намагалися або змогли подолати нашу систему захисту, за умови, що вони дотримувалися цих вказівок.

Crowdin не допускає такі типи досліджень безпеки

Ми схвалюємо охочість знаходити та повідомляти про вразливості та сподіваємося, що ви поставитися до цього відповідально. Проте, ми категорично забороняємо:

  • будь-які дії, що можуть негативно позначитися на сервісі Crowdin або його користувачах,
  • отримувати доступ до даних або інформації, які вам не належать, або намагатися це робити,
  • знищувати чи псувати дані або інформацію, які вам не належать, або намагатися це робити,
  • здійснювати фізичний або електронний напад на сервіс Crowdin, а також спеціалістів, власність і обчислювальні центри компанії,
  • Соціальна інженерія стосовно будь-якої служби підтримки, співробітника або підрядника Crowdin.
  • проводити тестування на уразливість сервісів, яких стосується ця політика, не через тестові облікові записи,
  • порушувати законодавство або будь-які угоди задля виявлення вразливостей.

Зобов’язання команди спеціалістів Crowdin з безпеки

Ми просимо не публікувати інформацію про незакриті вразливості та не ділитися нею з третіми сторонами будь-яким іншим спрособом. За умови відповідального подання звіту про вразливість, команда спеціалістів Crowdin з безпеки й пов’язані з компанією підприємства-розробники докладуть потрібних зусиль, щоби:

  • вчасно сповістити вас про отримання вашого повідомлення про вразливість,
  • надати орієнтовні терміни розгляду наданої інформації про вразливість,
  • повідомити вас про закриття вразливості, про яку ви повідмили,
  • Ми раді подякувати особисто кожному, хто надасть інформацію про вразливості, за те, що допомогли зробити Crowdin безпечнішим.

Зверніть увагу, що відправляючи нам повідомлення про уразливість, ви надаєте нам безстрокову, всесвітню, безоплатну, безвідкличну і не виключне право, а також право використовувати, змінювати і включати вашу заявку або її частини в наші продукти, послуги, або тест-системи без будь -або подальших зобов’язань або повідомлень.

Ми будемо вдячні за будь-яку додаткову відповідну технічну інформацію, які у вас є, особливо якщо відтворення проблеми складне. Якщо ми не зможемо її відтворити, ми не зможемо винагородити вас. Однак, немає необхідності описувати їх вплив на безпеку вашого перебування - ми розуміємо ризики безпеки, і ми можемо це з’ясувати. Нам потрібні тільки технічні деталі.

Нагороди

We maintain flexibility with our reward system; rewards are based on severity, impact, and report quality. Наприклад, ми можемо надати вам купон, щоб отримати знижку Crowdin Swag. Залежно від того, що ви виявите, ми можемо розмістити повідомлення про вас в Залі слави. Якщо ви віддаєте перевагу залишитися анонімом, ми, звичайно, це поважаємо.

У нас є конкретні речі, які ми шукаємо (і не дуже) - так що перевірте що ми шукаємо.

Якщо ви докладаєте кілька питань, які дублюють в різних місцях (наприклад, один і той же код працює на різних вузлах або платформ), або частини більш великої проблеми, можуть бути об’єднані в одну і тільки одну нагороду.

Якщо хтось вже повідомляв раніше, ми дамо вам знати після того, як проблема була усунена. Якщо ряд дослідників повідомляють те ж питання, ми тільки винагороджуємо відправнику перший звіт, який надає нам досить технічних подробиць для відтворення пошуку. Ми знаємо, що це дасть нам шпаринку, щоб ствердити, що все це було вже раніше встановлено, але повірте нам, ми хочемо бути чесними.

A reward will not be provided if the finding becomes known by anyone else than you or us, in any way, before it is fixed.

Ви завжди можете відстежувати, як просувається ваше запитання. Для цього зв’яжіться з командою безпеки Crowdin: support@crowdin.com