Zasady ujawniania luk w zabezpieczeniach
Zespół ds. Bezpieczeństwa Zoom jest zaangażowany w ochronę naszych użytkowników i ich danych. Wierzymy, że niezależna społeczność zajmująca się badaniami nad bezpieczeństwem ma kluczowy wkład w bezpieczeństwo Internetu i z chęcią przyjmujemy zgłoszenia potencjalnych problemów z bezpieczeństwem.
Niniejsza polityka zawiera wytyczne dla badaczy bezpieczeństwa, co do prowadzenia badań etycznych i koordynowania ujawniania Zoomowi luk w zabezpieczeniach.
Opracowaliśmy tę politykę, aby odzwierciedlić nasze wartości i podtrzymać nasze poczucie odpowiedzialności wobec badaczy bezpieczeństwa, którzy dzielą się z nami swoją wiedzą. Zachęcamy badaczy bezpieczeństwa do zgłaszania potencjalnych luk w zabezpieczeniach, które wykryli, abyśmy mogli je naprawić i zapewnić bezpieczeństwo naszym użytkownikom.
Ten program jest hostowany na Pewien Haker (HackerOne) i służy wyłącznie do skoordynowanego ujawniania potencjalnych luk w zabezpieczeniach oprogramowania.
Zasady programu
-
Powiadom nas, gdy tylko odkryjesz potencjalną lukę w zabezpieczeniach. Nie próbuj udowadniać swoich luk w zabezpieczeniach na własną rękę.
- Używaj kont i informacji lub uzyskuj dostęp tylko do kont i informacji należących do Ciebie.
- Nie niszcz ani nie zmieniaj danych, które nie należą do Ciebie.
- Nie obniżaj wydajności produktów i usług Zoom, ani naszych użytkowników.
- Nie przeprowadzaj ataków socjotechnicznych, fizycznych lub typu "odmowa usługi" na personel, lokalizacje lub aktywa Zoom.
- Postępuj zgodnie z wytycznymi Pewien Haker (HackerOne), dotyczącymi ujawniania informacji, niniejszą Polityką ujawniania luk w zabezpieczeniach oraz wszystkimi obowiązującymi przepisami.
Zakres
Niniejsza polityka dotyczy produktów, usług i systemów Zoom. Zawsze uważaj, aby zweryfikować, czyje zasoby testujesz podczas przeprowadzania badań.
Zgłoś problemy z Bazą Kluczy do ich dedykowanego programu nagroda za błąd (bug bounty) na Haker One (HackerOne).
Luki w zabezpieczeniach wykryte w systemach dostawców wykraczają poza zakres niniejszych zasad i powinny być zgłaszane bezpośrednio do dostawcy za pośrednictwem jego własnych programów ujawniania informacji.
Jeśli nie masz pewności, czy system jest objęty odpowiednim zakresem lub potrzebujesz pomocy w zgłoszeniu informacji do dostawcy, skontaktuj się z nami pod adresem security@zoom.us. Chętnie pomożemy!
Bezpieczna przystań
Wszelkie działania prowadzone w sposób, zgodny z niniejszą polityką będą uważane za autoryzowane postępowanie i nie będziemy wszczynać postępowania sądowego przeciwko Tobie. Jeśli strona trzecia rozpocznie postępowanie prawne przeciwko Tobie w związku z działaniami prowadzonymi w ramach niniejszej polityki, podejmiemy kroki, w celu poinformowania, że Twoje działania były prowadzone zgodnie z niniejszą polityką.
Luki w zabezpieczeniach poza zakresem
- Ataki wymagające MITM lub fizycznego dostępu do urządzenia użytkownika.
- Znane wcześniej podatne na ataki biblioteki bez działającego dowodu poprawności.
- Porywanie kliknięć (clickjacking) na stronach bez wrażliwych działań.
- Fałszerstwo żądań między witrynami (Cross-Site Request Forgery) (CSRF) na nieuwierzytelnionych formularzach lub formularzach bez poufnych działań.
- Wstawienie wartości rozdzielanych przecinkami (CSV) bez wykazywania luki w zabezpieczeniach.
- Brak najlepszych rozwiązań w konfiguracji SSL/TLS.
- Wszelkie działania, które mogą prowadzić do zakłócenia naszej usługi (DoS).
- Problemy z fałszowaniem treści i wstawiania tekstu bez pokazywania wektora ataku / bez możliwości modyfikacji HTML / CSS.
- Problemy z ograniczeniem szybkości lub brutalną siłą na punktach końcowych bez uwierzytelniania.
- Brak najlepszych praktyk w Polityce bezpieczeństwa treści.
- Brak flag HttpOnly lub secure w plikach cookie.
- Brak najlepszych praktyk dotyczących poczty elektronicznej (nieprawidłowe, niekompletne lub brakujące zapisy SPF/DKIM/DMARC itp.)
- Luki bezpieczeństwa dotykające tylko użytkowników przestarzałych lub niezałatanych przeglądarek (mniej niż dwie stabilne wersje w stosunku do ostatniej wydanej stabilnej wersji).
- Ujawnienie wersji oprogramowania / problemy z identyfikacją bannerów / opisowe komunikaty lub nagłówki o błędach (np. stack trace, błędy aplikacji lub serwera).
- Publiczne ataki zero-day, które miały oficjalną łatę przez okres krótszy niż 1 miesiąc, będą przyznawane w zależności od przypadku.
- Podmienianie zawartości nieaktywnej karty w przeglądarce (kradzież danych nieaktywnych kart przeglądarki) (Tabnabbing)
- Otwarte przekierowanie — chyba że można wykazać dodatkowy wpływ na bezpieczeństwo.
Jak zgłosić lukę w zabezpieczeniach
Przyjmujemy zgłoszenia o potencjalnych lukach w zabezpieczeniach oraz informujemy o nich na HackerOne.
Potwierdzimy otrzymanie zgłoszenia w ciągu jednego dnia roboczego.
Co chcielibyśmy od Ciebie zobaczyć
Aby pomóc nam w segregacji i skorygowaniu potencjalnych ustaleń, dobry raport o luce w zabezpieczeniach powinien:
- Opisywać lukę w zabezpieczeniach, dokładnie w miejscu, w którym została odkryta, oraz rzeczywisty wpływ.
- Pzedstawiać szczegółowy opis kroków niezbędnych do odtworzenia luki w zabezpieczeniach (pomocne są POC, zrzuty ekranu i filmy).
- W każdym zgłoszeniu należy uwzględnić jedną lukę (chyba że znajduje się w łańcuchu ataków).
- Nie zgłaszaj wyników automatycznego skanera bez dowodu możliwości wykorzystania.
Czego możesz od nas oczekiwać
Kiedy zdecydujesz się udostępnić nam swoje dane kontaktowe, zobowiązujemy się do współpracy z Tobą tak otwarcie i tak szybko, jak to możliwe.
- Potwierdzimy otrzymanie zgłoszenia w ciągu jednego dnia roboczego.
- W miarę naszych możliwości, potwierdzimy istnienie luki w zabezpieczeniach i będziemy tak przejrzyści, jak to tylko możliwe, w odniesieniu do procesu naprawczego, w tym w odniesieniu do problemów lub wyzwań, które mogą opóźnić rozwiązanie.
- Będziemy prowadzić otwarty dialog w celu omówienia problemów.
Uprawnienia
Program Zoom Nagroda za błąd (Bug Bounty) zachęca wykwalifikowane osoby do przesyłania raportów o lukach w zabezpieczeniach, które szczegółowo identyfikują i eksploatują błędy w niektórych produktach i usługach "w zakresie". W pewnych okolicznościach Zoom może przyznać nagrody pieniężne/nagrody badaczowi bezpieczeństwa, który przesłał zgłoszenie. Chociaż doceniamy każdy otrzymany raport, tylko ci badacze, którzy spełniają następujące kryteria, mogą kwalifikować się do otrzymania wypłaty nagrody.
- Musisz być pierwszym badaczem, który złoży raport dotyczący konkretnej luki w zabezpieczeniach.
- Musisz zidentyfikować lukę osobiście lub podczas pracy w zespole badaczy, którzy kwalifikują się do udziału w programie Zoom Nagroda za błąd (Bug Bounty).
- Nie możesz być zatrudniony przez Zoom, jej spółki zależne lub podmioty powiązane, obecnie lub w ciągu ostatnich 12 miesięcy.
- Musisz przestrzegać tej polityki podczas wykrywania luk w zabezpieczeniach i przesyłania raportu o luce.
- Nie może być powodu, dla którego Zoom miałby prawnie zakazane przyznanie Ci nagrody.
Inne zasady i warunki
Twój udział w programie Zoom Nagroda za błąd (Bug Bounty) nie tworzy żadnego stosunku pracy, ani partnerstwa między Tobą, a Zoom. Użytkownik nie może przedstawiać się jako pracownik Zoom lub osoba, która jest w jakikolwiek sposób powiązana z Zoom. Musisz przestrzegać wszystkich obowiązujących przepisów prawa w związku z uczestnictwem w tym programie. Użytkownik ponosi odpowiedzialność za wszelkie obowiązujące podatki związane z otrzymaną nagrodą/nagrodą. Zgłoszenia luk w zabezpieczeniach otrzymane przed uruchomieniem tego programu nie kwalifikują się do nagród i nie mogą być ponownie przesłane w celu uzyskania nagrody. Użytkownik nie może wykorzystywać żadnych logo, znaków towarowych, ani znaków usługowych Zoom bez pisemnej zgody Zoom. Zoom zastrzega sobie prawo do zmiany niniejszej polityki w dowolnym momencie i bez uprzedniego powiadomienia, poprzez opublikowanie zaktualizowanej wersji tego dokumentu. Zoom zastrzega sobie prawo do zakończenia tego programu w dowolnym momencie i bez wcześniejszego powiadomienia.
Własność intelektualna
Uczestnictwo w programie Zoom Bug Bounty nie przyznaje Użytkownikowi, ani żadnej innej stronie trzeciej żadnych praw do własności intelektualnej, produktu lub usługi Zoom. Wszelkie prawa, które nie zostały w inny sposób przyznane w ramach niniejszej polityki, są wyraźnie zastrzeżone przez Zoom. Niezależnie od tego, czy nagroda zostanie przyznana za przesłanie raportu, użytkownik niniejszym przenosi na Zoom wszelkie prawa, tytuły i odsetki, w tym wszelkie prawa własności intelektualnej, do wszystkich przesłanych zgłoszeń, dotyczących luk w zabezpieczeniach. Użytkownik oświadcza również, że ma prawo do przekazania Zoom wszystkich tych praw, tytułów i udziałów oraz że jego udział w programie Zoom Bug Bounty (Bug Bounty) nie narusza żadnych umów zawartych z innymi stronami trzecimi, np. z pracodawcą.