איש קשר אבטחה
דווחו על פגיעויות אבטחה בתשתית שלנו באופן אחראי
→ חזרה לדף הראשי
גילוי אחראי
כארגון מחקר אבטחה, אנו מתייחסים ברצינות לאבטחת התשתית שלנו. אם גיליתם פגיעות במערכות של ODINT, אנו רוצים לשמוע על כך. אנו מתחייבים לעבוד עם חוקרי אבטחה המדווחים על פגיעויות באופן אחראי.
דיווח על פגיעות
לבעיות אבטחה הקשורות לתשתית של ODINT:
[email protected]אנא כללו את המילה "SECURITY" בשורת הנושא
היקף
בתוך ההיקף
- אתר odint.io ותת-דומיינים
- יישומי האינטרנט הציבוריים שלנו
- נקודות קצה API (כשזמינות)
- מערכת SecureDrop (כשפעילה)
- בעיות אימות והרשאה
- פגיעויות חשיפת נתונים
מחוץ להיקף
- התקפות הנדסה חברתית נגד הצוות שלנו
- התקפות פיזיות על התשתית שלנו
- התקפות מניעת שירות
- שירותי צד שלישי בהם אנו משתמשים (דווחו להם ישירות)
- בעיות הדורשות גישה פיזית
- דואר זבל או פישינג
מה לכלול
בעת דיווח על פגיעות, אנא כללו:
- תיאור הפגיעות והשפעתה הפוטנציאלית
- הוראות שלב אחר שלב לשחזור הבעיה
- הוכחת היתכנות (צילומי מסך, סרטונים או קוד) אם אפשר
- הערכת החומרה שלכם
- הצעות לתיקון
- פרטי קשר שלכם למעקב (ניתן להישאר אנונימי)
ההתחייבות שלנו
כאשר אתם מדווחים לנו על פגיעות, אנו מתחייבים:
- אישור קבלה תוך 48 שעות
- הערכה ראשונית תוך 7 ימים
- עדכון שוטף על ההתקדמות שלנו
- מתן קרדיט בכל גילוי פומבי (אם תרצו)
- אי נקיטת הליכים משפטיים נגד חוקרים בתום לב
חשוב
אנא אל תחשפו פגיעויות באופן פומבי עד שיהיה לנו זמן סביר לטפל בהן. אנו מבקשים מינימום 90 יום לפני גילוי פומבי.
נמל מבטחים
אנו רואים במחקר אבטחה הנערך בהתאם למדיניות זו כמורשה. לא ננקוט בהליכים משפטיים נגד חוקרים אשר:
- פועלים בתום לב ונמנעים מהפרות פרטיות
- נמנעים משיבוש השירותים שלנו
- אינם ניגשים או משנים נתונים השייכים לאחרים
- מדווחים על פגיעויות מיידית
- נותנים לנו זמן סביר לתיקון לפני גילוי
הערה
דף זה מיועד לדיווח על בעיות אבטחה בתשתית של ODINT עצמה. אם ברצונכם לדווח על תשתית ממשלתית חשופה שגיליתם, אנא בקרו בדף שליחת מידע במקום זאת.