Biztonsági hibát észlelt a Startselect platformon?
Tájékoztasson minket, mielőtt mások tudomására hozná a kérdést. Így mi tehetjük meg az első lépést az ügyben. Ezt „felelős tájékoztatásnak” nevezzük.
Mit tegyen?
Számoljon be e-mailben a biztonsági résről (security[at]startselect.com). Ezen az e-mail-címen kizárólag biztonsági résekkel kapcsolatos bejelentéseket fogadunk.
Ha az ügyfélszolgálattal szeretné felvenni a kapcsolatot, keresse fel a következő oldalt: https://startselect.com/help
Adjon meg elegendő részletet ahhoz, hogy képesek legyünk reprodukálni és mielőbb orvosolni a hibát. Általában elegendő megadni a számítógép IP-címét vagy az URL-címet, valamint leírni, hogy milyen biztonsági hibáról van szó. Minél bonyolultabb a hiba, annál több részletre lesz szükségünk.
Adja meg a kapcsolattartási adatait (legalább az e-mail-címét vagy telefonszámát), hogy később el tudjuk érni.
Miután felfedezte, mielőbb tegyen bejelentést a hibáról.
Ne osszon meg információkat a hibáról másokkal, mielőtt orvosoltuk volna.
Kezelje felelősségteljesen a birtokában lévő információkat. Ne tegyen semmit a biztonsági hiba szemléltetésén túlmenően.
Jogunk van ahhoz, hogy ne válaszoljunk egy vagy több, Öntől származó bejelentésre, vagy felhagyjunk ezek feldolgozásával. Erre akkor lehet szükség, ha sok érvénytelen bejelentést tesz, vagy ha a bejelentései nem megfelelő minőségűek, nem egyértelműek, vagy nem ad meg további részleteket. Kizárólag angol nyelvű bejelentéseket dolgozunk fel.
Mit ne tegyen?
Ne küldjön kártevőket.
Ne másoljon, módosítson vagy töröljön adatokat az érintett rendszerben (alternatív megoldásként könyvtárlistát készíthet a rendszerről).
Ne módosítsa a rendszert.
Ne keresse fel újra és újra a rendszert, és ne ossza meg a hozzáférését másokkal.
Ne próbálja „erőszakkal” megnyitni a rendszert.
Ne próbálkozzon szolgáltatásmegtagadással vagy pszichológiai manipulációval.
Ne használjon automatikus keresőket vagy más automatizált eszközöket.
Mire számíthat?
Amikor biztonsági hibáról tesz bejelentést, ügyeljen arra, hogy eleget tegyen a fenti feltételeknek. Ez esetben ugyanis a Startselect részéről semmilyen jogi következménye nem lesz a bejelentésnek.
A Startselect bizalmasan kezeli a kapott bejelentéseket. Nem fogja megosztani az Ön engedélye nélkül a személyes adatait külső felekkel, kivéve ha erre a törvény vagy bírósági határozat kötelezi.
Ha szeretné, a Startselect név szerint említheti Önt a biztonsági hiba felfedezőjeként.
A Startselect három munkanapon belül visszaigazolja, hogy megkapta az Ön bejelentését.
A Startselect három munkanapon belül válaszol az Ön bejelentésére. Válaszában értékeli a bejelentést, és feltünteti, hogy várhatóan mikorra tudja orvosolni a hibát.
A Startselect tájékoztatja Önt – a hiba felfedezőjét – arról, hogy hogyan halad a hiba orvoslása.
A Startselect minél előbb igyekszik orvosolni a hibát – legkésőbb a bejelentés fogadását követő 60 napon belül. A Startselect Önnel közösen dönti el, hogy nyilvánosságra kell-e hozni a bejelentett hibát, és ha igen, hogyan. A hibát kizárólag az orvoslását követően hozzák nyilvánosságra.
A Startselect jutalmat adhat Önnek a segítségéért. A jutalom a biztonsági rés súlyosságától és a bejelentés minőségétől függően változó lehet. A Startselect kizárólagos mérlegelési jogkörben dönt a jutalmazásról.
A szabályzat hatályán kívül eső biztonsági rések:
Pszichológiai manipulációt magukban foglaló – többek között belső munkavállalókat célzó – támadások
Az infrastruktúránk, a létesítményeink és az irodahelyiségeink ellen intézett fizikai támadások
Keresőprogramok kimenő adatai vagy keresőprogramok által létrehozott jelentések, beleértve minden automatizált vagy aktív kiaknázásra szolgáló eszközt
Minden olyan biztonsági rés, amely egy feltört munkavállalói fiókból származik
SPF vagy DMARC e-mail-szabályzatok. Kéretlen levelek. Identitáshamisított vagy hamis e-mailek segítségével intézett támadások
Hálózati biztonsági rések
Átvett irányítás a fiókok felett (PLA, felhasználók számbavétele stb.)
Clickjacking (kattintáslopás), bejelentkezési/kijelentkezési CSRF
Ujjlenyomat-beállítás, adatközzététel üzenetekben
Protokollszintű támadások (pl. BEAST/BREACH)
Hiányzó biztonsági fejlécek, HttpOnly jelzők stb.
„Tabnabbing” típusú adathalász támadások
Kijelentkezést követő gyorsítótárazás
Jelszóháziendek
Tekintse át a következő forrást: https://bughunters.google.com/learn/invalid-reports. Lényegében egyetértünk a Google álláspontjával, miszerint ezek nem tekinthetők biztonsági résnek.
Utoljára frissítve: 2022. június 11.
