جهة اتصال أمنية
أبلغ عن الثغرات الأمنية في بنيتنا التحتية بشكل مسؤول
الإفصاح المسؤول
بصفتنا منظمة بحثية أمنية، نأخذ أمن بنيتنا التحتية على محمل الجد. إذا اكتشفت ثغرة في أنظمة ODINT، نريد أن نسمع عنها. نلتزم بالعمل مع الباحثين الأمنيين الذين يبلغون عن الثغرات بشكل مسؤول.
الإبلاغ عن ثغرة
للمسائل الأمنية المتعلقة ببنية ODINT التحتية:
[email protected]يرجى تضمين كلمة "SECURITY" في سطر الموضوع
النطاق
ضمن النطاق
- موقع odint.io والنطاقات الفرعية
- تطبيقات الويب العامة لدينا
- نقاط نهاية API (عند توفرها)
- نظام SecureDrop (عند التشغيل)
- مشاكل المصادقة والتفويض
- ثغرات تسريب البيانات
خارج النطاق
- هجمات الهندسة الاجتماعية ضد فريقنا
- الهجمات الفيزيائية على بنيتنا التحتية
- هجمات حجب الخدمة
- خدمات الطرف الثالث التي نستخدمها (أبلغ لهم مباشرة)
- المشاكل التي تتطلب الوصول الفيزيائي
- البريد العشوائي أو التصيد الاحتيالي
ما يجب تضمينه
عند الإبلاغ عن ثغرة، يرجى تضمين:
- وصف الثغرة وتأثيرها المحتمل
- تعليمات خطوة بخطوة لإعادة إنتاج المشكلة
- إثبات المفهوم (لقطات شاشة أو فيديوهات أو كود) إن أمكن
- تقييمك لخطورة الثغرة
- أي اقتراحات للإصلاح
- معلومات الاتصال الخاصة بك للمتابعة (يمكن أن تكون مجهولاً)
التزامنا
عند إبلاغك عن ثغرة لنا، نلتزم بـ:
- الإقرار بالاستلام خلال 48 ساعة
- تقديم تقييم أولي خلال 7 أيام
- إبقائك على اطلاع بتقدمنا
- منحك الفضل في أي إفصاح عام (إذا رغبت)
- عدم اتخاذ إجراء قانوني ضد الباحثين حسني النية
مهم
يرجى عدم الإفصاح العلني عن الثغرات حتى نحصل على وقت معقول لمعالجتها. نطلب حداً أدنى 90 يوماً قبل الإفصاح العام.
الملاذ الآمن
نعتبر البحث الأمني الذي يُجرى وفقاً لهذه السياسة مرخصاً. لن نتخذ إجراءً قانونياً ضد الباحثين الذين:
- يتصرفون بحسن نية ويتجنبون انتهاكات الخصوصية
- يتجنبون تعطيل خدماتنا
- لا يصلون إلى بيانات الآخرين أو يعدلونها
- يبلغون عن الثغرات فوراً
- يمنحوننا وقتاً معقولاً للإصلاح قبل الإفصاح
ملاحظة
هذه الصفحة للإبلاغ عن مشاكل أمنية في بنية ODINT التحتية. إذا كنت تريد الإبلاغ عن بنية تحتية حكومية مكشوفة اكتشفتها، يرجى زيارة صفحة إرسال معلومة بدلاً من ذلك.