Zasady ujawniania luk w zabezpieczeniach

Zespół ds. Bezpieczeństwa Zoom jest zaangażowany w ochronę naszych użytkowników i ich danych. Wierzymy, że niezależna społeczność zajmująca się badaniami nad bezpieczeństwem ma kluczowy wkład w bezpieczeństwo Internetu i z chęcią przyjmujemy zgłoszenia potencjalnych problemów z bezpieczeństwem.

Niniejsza polityka zawiera wytyczne dla badaczy bezpieczeństwa, co do prowadzenia badań etycznych i koordynowania ujawniania Zoomowi luk w zabezpieczeniach.

Opracowaliśmy tę politykę, aby odzwierciedlić nasze wartości i podtrzymać nasze poczucie odpowiedzialności wobec badaczy bezpieczeństwa, którzy dzielą się z nami swoją wiedzą. Zachęcamy badaczy bezpieczeństwa do zgłaszania potencjalnych luk w zabezpieczeniach, które wykryli, abyśmy mogli je naprawić i zapewnić bezpieczeństwo naszym użytkownikom.

Ten program jest hostowany na Pewien Haker (HackerOne) i służy wyłącznie do skoordynowanego ujawniania potencjalnych luk w zabezpieczeniach oprogramowania.

Zasady programu

  • Powiadom nas, gdy tylko odkryjesz potencjalną lukę w zabezpieczeniach. Nie próbuj udowadniać swoich luk w zabezpieczeniach na własną rękę.
  • Używaj kont i informacji lub uzyskuj dostęp tylko do kont i informacji należących do Ciebie.
  • Nie niszcz ani nie zmieniaj danych, które nie należą do Ciebie.
  • Nie obniżaj wydajności produktów i usług Zoom, ani naszych użytkowników.
  • Nie przeprowadzaj ataków socjotechnicznych, fizycznych lub typu "odmowa usługi" na personel, lokalizacje lub aktywa Zoom.
  • Postępuj zgodnie z wytycznymi Pewien Haker (HackerOne), dotyczącymi ujawniania informacji, niniejszą Polityką ujawniania luk w zabezpieczeniach oraz wszystkimi obowiązującymi przepisami.

Zakres

Niniejsza polityka dotyczy produktów, usług i systemów Zoom. Zawsze uważaj, aby zweryfikować, czyje zasoby testujesz podczas przeprowadzania badań.

Zgłoś problemy z Bazą Kluczy do ich dedykowanego programu nagroda za błąd (bug bounty) na Haker One (HackerOne).

Luki w zabezpieczeniach wykryte w systemach dostawców wykraczają poza zakres niniejszych zasad i powinny być zgłaszane bezpośrednio do dostawcy za pośrednictwem jego własnych programów ujawniania informacji.

Jeśli nie masz pewności, czy system jest objęty odpowiednim zakresem lub potrzebujesz pomocy w zgłoszeniu informacji do dostawcy, skontaktuj się z nami pod adresem security@zoom.us. Chętnie pomożemy!

Bezpieczna przystań

Wszelkie działania prowadzone w sposób, zgodny z niniejszą polityką będą uważane za autoryzowane postępowanie i nie będziemy wszczynać postępowania sądowego przeciwko Tobie. Jeśli strona trzecia rozpocznie postępowanie prawne przeciwko Tobie w związku z działaniami prowadzonymi w ramach niniejszej polityki, podejmiemy kroki, w celu poinformowania, że Twoje działania były prowadzone zgodnie z niniejszą polityką.

Luki w zabezpieczeniach poza zakresem

  • Ataki wymagające MITM lub fizycznego dostępu do urządzenia użytkownika.
  • Znane wcześniej podatne na ataki biblioteki bez działającego dowodu poprawności.
  • Porywanie kliknięć (clickjacking) na stronach bez wrażliwych działań.
  • Fałszerstwo żądań między witrynami (Cross-Site Request Forgery) (CSRF) na nieuwierzytelnionych formularzach lub formularzach bez poufnych działań.
  • Wstawienie wartości rozdzielanych przecinkami (CSV) bez wykazywania luki w zabezpieczeniach.
  • Brak najlepszych rozwiązań w konfiguracji SSL/TLS.
  • Wszelkie działania, które mogą prowadzić do zakłócenia naszej usługi (DoS).
  • Problemy z fałszowaniem treści i wstawiania tekstu bez pokazywania wektora ataku / bez możliwości modyfikacji HTML / CSS.
  • Problemy z ograniczeniem szybkości lub brutalną siłą na punktach końcowych bez uwierzytelniania.
  • Brak najlepszych praktyk w Polityce bezpieczeństwa treści.
  • Brak flag HttpOnly lub secure w plikach cookie.
  • Brak najlepszych praktyk dotyczących poczty elektronicznej (nieprawidłowe, niekompletne lub brakujące zapisy SPF/DKIM/DMARC itp.)
  • Luki bezpieczeństwa dotykające tylko użytkowników przestarzałych lub niezałatanych przeglądarek (mniej niż dwie stabilne wersje w stosunku do ostatniej wydanej stabilnej wersji).
  • Ujawnienie wersji oprogramowania / problemy z identyfikacją bannerów / opisowe komunikaty lub nagłówki o błędach (np. stack trace, błędy aplikacji lub serwera).
  • Publiczne ataki zero-day, które miały oficjalną łatę przez okres krótszy niż 1 miesiąc, będą przyznawane w zależności od przypadku.
  • Podmienianie zawartości nieaktywnej karty w przeglądarce (kradzież danych nieaktywnych kart przeglądarki) (Tabnabbing)
  • Otwarte przekierowanie — chyba że można wykazać dodatkowy wpływ na bezpieczeństwo.

Jak zgłosić lukę w zabezpieczeniach

Przyjmujemy zgłoszenia o potencjalnych lukach w zabezpieczeniach oraz informujemy o nich na HackerOne.

Potwierdzimy otrzymanie zgłoszenia w ciągu jednego dnia roboczego.

Co chcielibyśmy od Ciebie zobaczyć

Aby pomóc nam w segregacji i skorygowaniu potencjalnych ustaleń, dobry raport o luce w zabezpieczeniach powinien:

  • Opisywać lukę w zabezpieczeniach, dokładnie w miejscu, w którym została odkryta, oraz rzeczywisty wpływ.
  • Pzedstawiać szczegółowy opis kroków niezbędnych do odtworzenia luki w zabezpieczeniach (pomocne są POC, zrzuty ekranu i filmy).
  • W każdym zgłoszeniu należy uwzględnić jedną lukę (chyba że znajduje się w łańcuchu ataków).
  • Nie zgłaszaj wyników automatycznego skanera bez dowodu możliwości wykorzystania.

Czego możesz od nas oczekiwać

Kiedy zdecydujesz się udostępnić nam swoje dane kontaktowe, zobowiązujemy się do współpracy z Tobą tak otwarcie i tak szybko, jak to możliwe.

  • Potwierdzimy otrzymanie zgłoszenia w ciągu jednego dnia roboczego.
  • W miarę naszych możliwości, potwierdzimy istnienie luki w zabezpieczeniach i będziemy tak przejrzyści, jak to tylko możliwe, w odniesieniu do procesu naprawczego, w tym w odniesieniu do problemów lub wyzwań, które mogą opóźnić rozwiązanie.
  • Będziemy prowadzić otwarty dialog w celu omówienia problemów.

Uprawnienia

Program Zoom Nagroda za błąd (Bug Bounty) zachęca wykwalifikowane osoby do przesyłania raportów o lukach w zabezpieczeniach, które szczegółowo identyfikują i eksploatują błędy w niektórych produktach i usługach "w zakresie". W pewnych okolicznościach Zoom może przyznać nagrody pieniężne/nagrody badaczowi bezpieczeństwa, który przesłał zgłoszenie. Chociaż doceniamy każdy otrzymany raport, tylko ci badacze, którzy spełniają następujące kryteria, mogą kwalifikować się do otrzymania wypłaty nagrody.

  • Musisz być pierwszym badaczem, który złoży raport dotyczący konkretnej luki w zabezpieczeniach.
  • Musisz zidentyfikować lukę osobiście lub podczas pracy w zespole badaczy, którzy kwalifikują się do udziału w programie Zoom Nagroda za błąd (Bug Bounty).
  • Nie możesz być zatrudniony przez Zoom, jej spółki zależne lub podmioty powiązane, obecnie lub w ciągu ostatnich 12 miesięcy.
  • Musisz przestrzegać tej polityki podczas wykrywania luk w zabezpieczeniach i przesyłania raportu o luce.
  • Nie może być powodu, dla którego Zoom miałby prawnie zakazane przyznanie Ci nagrody.

Inne zasady i warunki

Twój udział w programie Zoom Nagroda za błąd (Bug Bounty) nie tworzy żadnego stosunku pracy, ani partnerstwa między Tobą, a Zoom. Użytkownik nie może przedstawiać się jako pracownik Zoom lub osoba, która jest w jakikolwiek sposób powiązana z Zoom. Musisz przestrzegać wszystkich obowiązujących przepisów prawa w związku z uczestnictwem w tym programie. Użytkownik ponosi odpowiedzialność za wszelkie obowiązujące podatki związane z otrzymaną nagrodą/nagrodą. Zgłoszenia luk w zabezpieczeniach otrzymane przed uruchomieniem tego programu nie kwalifikują się do nagród i nie mogą być ponownie przesłane w celu uzyskania nagrody. Użytkownik nie może wykorzystywać żadnych logo, znaków towarowych, ani znaków usługowych Zoom bez pisemnej zgody Zoom. Zoom zastrzega sobie prawo do zmiany niniejszej polityki w dowolnym momencie i bez uprzedniego powiadomienia, poprzez opublikowanie zaktualizowanej wersji tego dokumentu. Zoom zastrzega sobie prawo do zakończenia tego programu w dowolnym momencie i bez wcześniejszego powiadomienia.

Własność intelektualna

Uczestnictwo w programie Zoom Bug Bounty nie przyznaje Użytkownikowi, ani żadnej innej stronie trzeciej żadnych praw do własności intelektualnej, produktu lub usługi Zoom. Wszelkie prawa, które nie zostały w inny sposób przyznane w ramach niniejszej polityki, są wyraźnie zastrzeżone przez Zoom. Niezależnie od tego, czy nagroda zostanie przyznana za przesłanie raportu, użytkownik niniejszym przenosi na Zoom wszelkie prawa, tytuły i odsetki, w tym wszelkie prawa własności intelektualnej, do wszystkich przesłanych zgłoszeń, dotyczących luk w zabezpieczeniach. Użytkownik oświadcza również, że ma prawo do przekazania Zoom wszystkich tych praw, tytułów i udziałów oraz że jego udział w programie Zoom Bug Bounty (Bug Bounty) nie narusza żadnych umów zawartych z innymi stronami trzecimi, np. z pracodawcą.