Política de Divulgação de Segurança - INMAGINE
Ao comunicar vulnerabilidades, deve considerar o cenário de ataque/exploração, e o impacto do bug na segurança. As seguintes questões são consideradas fora do âmbito deste Programa, e não aceitaremos nenhum dos seguintes tipos de ataques:
Se visitar o nosso sítio web e notar quaisquer problemas de segurança, exigimos que todos os investigadores:
Qualquer informação encontrada ou recolhida sobre INMAGINE ou qualquer utilizador INMAGINE através dos bugs de segurança deve ser mantida confidencial e apenas utilizada em relação a nós. O acesso à informação privada de outros utilizadores, a realização de acções que possam afectar negativamente os utilizadores da INMAGINE é estritamente proibido. O utilizador não pode utilizar, divulgar ou distribuir qualquer Informação Confidencial, incluindo, mas não se limitando a, qualquer informação relativa à sua Submissão e informação obtida ao pesquisar os sítios INMAGINE, sem o consentimento prévio por escrito da INMAGINE.
No interesse da segurança dos nossos utilizadores, pessoal, gostaríamos de lhe pedir que se abstenha de o fazer:
Se o cliente seguir estas directrizes e nos informar imediatamente, comprometemo-nos a fazê-lo:
Como denunciar uma vulnerabilidade de segurança?
Acreditamos que toda a tecnologia contém bugs e que o público desempenha um papel crucial na identificação desses bugs. Se acredita ter encontrado uma vulnerabilidade de segurança num dos nossos produtos ou plataformas, por favor envie-nos imediatamente uma mensagem de correio electrónico para patrick@123rf.com. Por favor, inclua os seguintes detalhes no seu relatório:
Aceitamos relatórios baseados na severidade não inferior a 6 por CVSS 3.1. A severidade final pode ser ajustada para reflectir o impacto da vulnerabilidade reportada nos nossos domínios.
Mais sobre a pontuação CVSS 3.1: https://www.first.org/cvss/calculator/3.1
*.123rf.com
*.pixlr.com
*.designs.ai
Ao comunicar vulnerabilidades, deve considerar o cenário de ataque/exploração, e o impacto do bug na segurança. As seguintes questões são consideradas fora do âmbito deste Programa, e não aceitaremos nenhum dos seguintes tipos de ataques:
Inmagine reserva-se o direito de modificar ou cancelar este Programa de Recompensa de Insectos e as suas políticas em qualquer altura, sem aviso prévio.
Consequentemente, Inmagine pode alterar estes Termos e/ou as suas políticas em qualquer altura, publicando uma versão revista no sítio web de Inmagine. O utilizador aceita os Termos modificados se continuar a participar no Programa de Recompensas de Insectos após a introdução de alterações aos Termos.
Directrizes
Se visitar o nosso sítio web e notar quaisquer problemas de segurança, exigimos que todos os investigadores:
- Envidar todos os esforços para evitar violações da privacidade, degradação da experiência do utilizador, perturbação dos sistemas de produção, e destruição de dados durante os testes de segurança;
- Utilizar os canais de comunicação identificados para nos comunicar informações sobre vulnerabilidade; e
- Mantenha a informação sobre quaisquer vulnerabilidades que tenha descoberto confidencial entre si e a INMAGINE até que tenhamos tido [90] dias para resolver o problema.
Confidencialidade
Qualquer informação encontrada ou recolhida sobre INMAGINE ou qualquer utilizador INMAGINE através dos bugs de segurança deve ser mantida confidencial e apenas utilizada em relação a nós. O acesso à informação privada de outros utilizadores, a realização de acções que possam afectar negativamente os utilizadores da INMAGINE é estritamente proibido. O utilizador não pode utilizar, divulgar ou distribuir qualquer Informação Confidencial, incluindo, mas não se limitando a, qualquer informação relativa à sua Submissão e informação obtida ao pesquisar os sítios INMAGINE, sem o consentimento prévio por escrito da INMAGINE.
No interesse da segurança dos nossos utilizadores, pessoal, gostaríamos de lhe pedir que se abstenha de o fazer:
- Spamming.
- Engenharia social (incluindo phishing) do pessoal da INMAGINE ou de contratantes ou clientes.
- Quaisquer tentativas físicas contra a propriedade ou centros de dados INMAGINE.
- Criptominagem.
- Acesso, ou tentativa de acesso, a dados ou informações que não lhe pertençam.
- Destruir ou corromper, ou tentar destruir ou corromper, dados ou informações que não lhe pertençam.
- Causar, ou tentar causar, uma condição de Negação de Serviço (DoS/DDoS).
Se o cliente seguir estas directrizes e nos informar imediatamente, comprometemo-nos a fazê-lo:
- Não iniciaremos acções legais contra investigadores de segurança que tentem encontrar vulnerabilidades dentro dos nossos sistemas e que adiram a esta política.
Como denunciar uma vulnerabilidade de segurança?
Acreditamos que toda a tecnologia contém bugs e que o público desempenha um papel crucial na identificação desses bugs. Se acredita ter encontrado uma vulnerabilidade de segurança num dos nossos produtos ou plataformas, por favor envie-nos imediatamente uma mensagem de correio electrónico para patrick@123rf.com. Por favor, inclua os seguintes detalhes no seu relatório:
- Descrição da localização e potencial impacto da vulnerabilidade;
- Uma descrição detalhada dos passos necessários para reproduzir a vulnerabilidade (scripts POC, capturas de ecrã e capturas de ecrã comprimido são todos úteis para nós); e
- O seu nome/punho
Elegibilidade
Aceitamos relatórios baseados na severidade não inferior a 6 por CVSS 3.1. A severidade final pode ser ajustada para reflectir o impacto da vulnerabilidade reportada nos nossos domínios.
Mais sobre a pontuação CVSS 3.1: https://www.first.org/cvss/calculator/3.1
No âmbito
*.123rf.com
*.pixlr.com
*.designs.ai
Fora do âmbito de aplicação
Ao comunicar vulnerabilidades, deve considerar o cenário de ataque/exploração, e o impacto do bug na segurança. As seguintes questões são consideradas fora do âmbito deste Programa, e não aceitaremos nenhum dos seguintes tipos de ataques:
- Ataques de negação de serviço
- Spam, engenharia social ou técnicas de phishing por e-mail (por exemplo, phishing, vishing, smishing)
- Falsificação de e-mail
- Qualquer vulnerabilidade de segurança do lado do cliente (por exemplo, navegadores, plugins)
- Divulgação da versão de software
- Descarregar ficheiro reflectido
- Qualquer problema de acesso físico
- Páginas acessíveis ao público
- Qualquer fraqueza ou divulgação de informação que não conduza a uma vulnerabilidade directa
- Email ou enumeração de contas
- Execução de comandos CSV e pontos fracos do CSP
- Quaisquer vulnerabilidades em aplicações ou websites de terceiros não se encontram geralmente no âmbito do nosso Programa.
Alterações aos Termos
Inmagine reserva-se o direito de modificar ou cancelar este Programa de Recompensa de Insectos e as suas políticas em qualquer altura, sem aviso prévio.
Consequentemente, Inmagine pode alterar estes Termos e/ou as suas políticas em qualquer altura, publicando uma versão revista no sítio web de Inmagine. O utilizador aceita os Termos modificados se continuar a participar no Programa de Recompensas de Insectos após a introdução de alterações aos Termos.