גילוי אחראי

כיצד אנו מטפלים בפגיעויות שהתגלו במחקרים שלנו

→ חזרה לדף הראשי
תאריך תחילת תוקף: 27 בינואר 2026

הגישה שלנו

כאשר ODINT מגלה פגיעויות בתשתית דיגיטלית ממשלתית, אנו מאזנים בין האינטרס הציבורי בשקיפות לבין האחריות לצמצום נזקים. מדיניות הגילוי שלנו תוכננה לתת לגורמים המושפעים זמן סביר לטפל בבעיות, תוך הבטחה שממצאים חשובים יגיעו בסופו של דבר לציבור.

העיקרון המנחה

אנו מאמינים שגילוי פומבי של בעיות אבטחה משפר בסופו של דבר את האבטחה לכולם. עם זאת, אנו מכירים גם בכך שגילוי מיידי של פגיעויות קריטיות עלול לגרום נזק. מדיניות זו שואפת לאזן בין שיקולים אלה.

קטגוריות גילוי

פגיעויות קריטיות

בעיות שעלולות לגרום נזק מיידי לאנשים (כגון נתונים אישיים חשופים, מערכות המאפשרות מעקב אחר אוכלוסיות פגיעות). אנו מודיעים לגורמים המושפעים מיידית ומעניקים 30-90 יום לטיפול לפני גילוי פומבי.

בעיות בסיכון גבוה

חולשות אבטחה משמעותיות הניתנות לניצול (כגון עקיפת אימות, ממשקי ניהול לא מוגנים). אנו מעניקים הודעה מוקדמת של 60 יום לפני פרסום.

ממצאים כלליים

תשתיות חשופות המייצגות פרקטיקת אבטחה לקויה אך מהוות סיכון מיידי מוגבל (כגון גרסאות תוכנה מיושנות, שירותים מוגדרים בצורה שגויה). אנו עשויים לפרסם ללא הודעה מוקדמת, אם כי לעתים קרובות אנו מודיעים לגורמים המושפעים כמחווה של נימוס.

לוח הזמנים המקובל לגילוי

התהליך האופייני

יום 0 גילוי הפגיעות ותיעודה
יום 1-7 שליחת הודעה ראשונית לגורם המושפע דרך ערוצים מאובטחים
יום 14 מעקב אם לא התקבלה תגובה
יום 30-90 חלון גילוי בהתאם לחומרה
לאחר המועד גילוי פומבי עם או בלי טיפול

שיטות הודעה

אנו מנסים ליצור קשר עם הגורמים המושפעים דרך:

גורמים המשפיעים על לוח הזמנים

אנו עשויים להאריך או לקצר את לוח הזמנים לגילוי על סמך:

מה אנו מפרסמים

הגילויים שלנו כוללים בדרך כלל:

איננו מפרסמים קוד ניצול פעיל או מידע טכני מפורט שעיקר תועלתו לתוקפים.

חריגים

אנו עשויים לסטות ממדיניות זו כאשר:

דיווח על פגיעות במערכות ODINT

אם מצאתם בעיית אבטחה בתשתית של ODINT, אנא דווחו עליה דרך דף איש קשר אבטחה.

עדכון אחרון: 27 בינואר 2026

© 2026 המצפה לתשתיות דיגיטליות ושקיפות רשתות. ארגון עצמאי ללא מטרות רווח. כל הזכויות שמורות.

ראשי · פרטיות · תנאים