Политика раскрытия информации об уязвимостях

Рабочая группа Zoom по вопросам безопасности заботится о защите наших пользователей и их данных. Мы убеждены в том, что ключевой вклад в безопасность Интернета вносит сообщество, осуществляющее независимый анализ безопасности, и приветствуем отчеты о потенциальных проблемах.

Настоящая политика содержит указания для исследователей безопасности по осуществлению этичных исследований и согласованного раскрытия Zoom информации об уязвимостях.

Мы разработали данную политику, чтобы обозначить наши ценности и подкрепить нашу ответственность перед исследователями безопасности, которые делятся с нами своими экспертными знаниями. Мы призываем исследователей безопасности сообщать о потенциальных уязвимостях, которые они обнаруживают, чтобы мы могли решать проблемы и обеспечивать защиту наших пользователей.

Эта программа размещена на HackerOne и предназначена только для согласованного раскрытия информации о потенциальных уязвимостях безопасности программного обеспечения.

Правила программы

  • Направляйте нам уведомление, как только вы обнаруживаете потенциальную уязвимость безопасности. Не пытайтесь доказать наличие уязвимости самостоятельно.
  • Используйте и просматривайте только те учетные записи и данные, которые принадлежат вам.
  • Не уничтожайте и не меняйте данные, которые не являются вашими.
  • Не снижайте производительность продуктов и услуг Zoom или наших пользователей.
  • Не используйте техники социальной инженерии и не совершайте киберкинетические и DoS-атаки в отношении сотрудников, площадок и активов Zoom.
  • Соблюдайте указания по раскрытию информации, представленные на HackerOne, настоящую Политику раскрытия информации об уязвимостях и все действующие законы.

Сфера действия

Данная политика распространяется на все продукты, услуги и системы Zoom. Всегда проявляйте осторожность и проверяйте, чьи активы вы тестируете в рамках исследований.

Сообщайте о проблемах продукта Keybase через предусмотренную для него баунти-программу по выявлению ошибок на HackerOne.

Уязвимости, найденные в системах поставщиков, не подпадают под действие настоящей политики: о них необходимо напрямую сообщать поставщикам через их собственные программы раскрытия информации.

Если вы не уверены, охватывает ли политика определенную систему, или нуждаетесь в помощи с уведомлением поставщика о найденной уязвимости, свяжитесь с нами по адресу security@zoom.us. Мы рады помочь!

Правило безопасной гавани

Любые действия, выполняемые в соответствии с настоящей политикой, считаются санкционированными, и мы не осуществляем из-за них судебное преследование. Если третья сторона начинает судебное преследование против вас в связи с вашими действиями, отвечающими данной политике, мы обязуемся принять меры, чтобы сообщить о соответствии ваших действий этой политике.

Уязвимости вне сферы действия

  • MITM-атаки и физический доступ к устройству пользователя.
  • Ранее известные уязвимые библиотеки без работающей пробной версии.
  • Кликджекинг на страницах без действий, связанных с риском.
  • Межсайтовая подделка запроса (CSRF-атака) в неаутентифицированных формах или формах без действий, связанных с риском.
  • Внедрение файла данных с разделителями-запятыми (CSV), без указания на уязвимость.
  • Неиспользование передовых практик при настройке SSL/TLS.
  • Любые действия, которые могут привести к отказу нашей системы в обслуживании (DoS-атаки).
  • Подмена контента и внедрение текста без указания вектора атаки или без возможности модифицировать HTML/CSS.
  • Ограничение скорости и брутфорс на конечных точках без аутентификации.
  • Несоблюдение передовых практик по использованию CSP.
  • Неиспользование флагов cookie HttpOnly и secure.
  • Неиспользование передовых практик настройки электронной почты (некорректные, неполные или отсутствующие протоколы SPF/DKIM/DMARC и т. д.).
  • Уязвимости, затрагивающие только пользователей с устаревшими или необновленными браузерами (менее двух стабильных версий до последней выпущенной стабильной версии).
  • Раскрытие версии программного обеспечения/идентификация по баннерам/описательные сообщения об ошибках или заголовки (например, ошибки приложения, сервера или трассировки стека).
  • Решения о вознаграждениях, связанных с общеизвестными уязвимостями нулевого дня с официальным патчем, полученным менее 1 месяца назад, принимаются в индивидуальном порядке.
  • Табнаббинг.
  • Открытое перенаправление, если не может быть продемонстрировано дополнительное воздействие на безопасность.

Как направить отчет об уязвимости

Мы принимаем отчеты об уязвимостях безопасности и обсуждаем их на HackerOne.

Мы подтверждаем получение вашего отчета в течение одного рабочего дня.

Что мы хотим от вас получить

Хороший отчет о потенциальной уязвимости, позволяющий нам оценить ее приоритетность и решить проблему, должен быть выполнен с учетом следующих принципов.

  • Опишите уязвимость, укажите точное место ее обнаружения и ее практические последствия.
  • Приведите детальное описание шагов, необходимых для воспроизведения уязвимости (будут полезны доказательства концепции, снимки экрана и видеоматериалы).
  • Указывайте в отчете только одну уязвимость (если отчет не о цепочке атак).
  • Не направляйте отчеты о результатах использования автоматизированного сканера уязвимостей без доказательства возможности эксплуатации.

Что вы можете от нас ждать

Если вы предоставляете нам свои контактные данные, то мы постараемся взаимодействовать с вами настолько открыто и быстро, насколько это возможно.

  • Мы подтвердим получение вашего отчета в течение одного рабочего дня.
  • Мы по возможности уведомим вас о том, подтверждено ли существование уязвимости, и будем сообщать о процессе ее устранения, а также о проблемах, которые могут его замедлять.
  • Мы будем поддерживать открытый диалог о проблемах.

Правомерность

В рамках программы Zoom Bug Bounty мы призываем экспертов направлять нам отчеты об уязвимостях, в которых подробно описываются обнаружение и потенциальная эксплуатация ошибок в определенных продуктах и услугах. При определенных обстоятельствах Zoom может предоставлять направляющим отчеты исследователям безопасности денежные вознаграждения и поощрения. Мы ценим каждый полученный отчет, однако, чтобы рассчитывать на вознаграждение, необходимо соответствовать следующим критериям.

  • Вы должны быть первым исследователем, направившим отчет о данной уязвимости.
  • Вы должны выявить уязвимость лично или в рамках работы в группе исследователей, каждый из которых соответствует требованиям программы Zoom Bug Bounty.
  • Вы не должны быть трудоустроены в компании Zoom, ее дочерних и родственных организациях в данное время и в течение последних 12 месяцев.
  • Вы должны соблюдать настоящую политику при выявлении уязвимостей и направлении отчетов о них.
  • Не должно быть юридических оснований, препятствующих вашему награждению со стороны Zoom.

Другие условия и положения

Ваше участие в программе Zoom Bug Bounty не составляет ни трудовых, ни партнерских отношений между вами и Zoom. Вы не вправе представляться сотрудником компании Zoom или лицом, каким-либо образом с ней аффилированным. Участвуя в программе, вы обязаны соблюдать все действующие законы. Вы несете ответственность за выплату всех налогов, действующих в отношении получаемых вами вознаграждений или поощрений. Отчеты об уязвимостях, полученные до запуска настоящей программы, не могут служить основанием для вознаграждения и направляться повторно для его присуждения. Вы не вправе использовать логотипы, товарные знаки
и знаки обслуживания Zoom, не имея на то письменного разрешения Zoom. Zoom оставляет за собой право корректировать настоящую политику в любое время и без предварительного уведомления, публикуя обновленную версию данного документа. Zoom оставляет за собой право на прекращение этой программы в любое время и без предварительного уведомления.

Интеллектуальная собственность

Ваше участие в программе Zoom Bug Bounty не дает ни вам, ни любым другим третьим сторонам никаких прав на интеллектуальную собственность, продукцию и услуги Zoom. Все права, не предоставленные в рамках данной политики, явно выраженным образом сохраняются за Zoom. Вне зависимости от того, присуждается ли за отчет вознаграждение, настоящим вы передаете Zoom все права в отношении всех предоставленных отчетов, включая права на интеллектуальную собственность. Кроме того, вы заявляете, что вы вправе передавать Zoom все указанные права на предоставленные отчеты и ваше участие в программе Zoom Bug Bounty не нарушает никакие соглашения, которые могут быть заключены между вами и любыми другими третьими сторонами, такими как ваш работодатель.