Polityka odpowiedzialnego ujawniania informacji Startselect

Udało ci się odkryć lukę bezpieczeństwa w Startselect?

Prosimy najpierw powiadomić o tym nas, a dopiero potem resztę świata, abyśmy mogli podjąć w sprawie luki odpowiednie działania. Takie postępowanie nazywa się „odpowiedzialnym ujawnieniem informacji”.

Co należy robić:

Zgłoś lukę za pośrednictwem poczty e-mail na adres security@startselect.com. Ten adres używany jest tylko do zgłaszania luk bezpieczeństwa.
Aby uzyskać wsparcie obsługi klienta, przejdź pod adres: https://startselect.com/help

Podaj nam wystarczająco dużo szczegółów, abyśmy mogli odtworzyć usterkę i jak najszybciej ją naprawić. Zwykle wystarczy podać adres IP lub URL komputera z luką oraz opis luki bezpieczeństwa. Ale im bardziej skomplikowana luka, tym więcej będziemy potrzebować szczegółów.
Podaj nam również swoje dane kontaktowe, abyśmy mogli się z tobą później skontaktować – przynajmniej adres e-mail lub numer telefonu.
Zgłoś lukę jak najszybciej po jej wykryciu.
Nie udostępniaj innym żadnych informacji o usterce, dopóki nie zostanie ona naprawiona.
Postępuj odpowiedzialnie z informacjami, które posiadasz. Nie rób nic poza tym, co jest konieczne, aby zademonstrować nam lukę bezpieczeństwa.

Mamy prawo do zaprzestania odpowiadania/przetwarzania jednego lub więcej zgłoszeń od użytkownika. Dzieje się tak, gdy na przykład otrzymujemy wiele nieważnych zgłoszeń. lub gdy zgłoszenia są niewystarczającej jakości, są niejasne lub nie można ich bardziej szczegółowo opisać. W przypadku otrzymania zgłoszeń w językach innych niż angielski nie będziemy ich przetwarzać.

Czego nie robić:

wysyłać złośliwego oprogramowania;
kopiować, zmieniać czy usuwać dane w danym systemie (w ramach alternatywy możesz utworzyć spis katalogu systemu);
wprowadzać zmian w systemie;
wielokrotnie odwiedzać system poprzez lukę czy umożliwiać to innym;
używać „brutalnej siły” do sforsowania systemu;
próbować ataków odmowy dostępu czy ataków socjotechnicznych;
używać automatycznych skanerów czy innych automatycznych narzędzi.

Czego można oczekiwać:

Zgłaszając lukę bezpieczeństwa, sprawdź, czy spełniasz warunki opisane powyżej. Jeśli tak, Startselect nie powiąże z twoimi działaniami żadnych konsekwencji prawnych.
Startselect traktuje otrzymywane powiadomienia jako poufne. Nie będzie bez twojej zgody udostępniać twoich danych osobowych stronom trzecim, chyba że będzie to wymagane przez prawo lub nakaz sądowy.
Startselect może, jeśli chcesz, ogłosić twoje imię i nazwisko jako osoby, która odkryła lukę bezpieczeństwa.
Po otrzymaniu zgłoszenia o luce Startselect wyśle ci potwierdzenie otrzymania w ciągu trzech dni roboczych.
Startselect odpowie na twoje zgłoszenie w ciągu trzech dni roboczych. Nasza odpowiedź będzie zawierać ocenę twojego zgłoszenia oraz datę dnia, w którym spodziewamy się usunąć tę lukę.
Startselect będzie cię informować – jako osobę, która odkryła lukę – o postępach w jej naprawie.
Startselect jak najszybciej usunie lukę – na pewno nie później niż 60 dni od momentu otrzymania zgłoszenia. Startselect będzie współpracować z tobą w celu ustalenia, czy zgłoszona luka może zostać upubliczniona, a jeśli tak, to w jaki sposób. Luka nie może zostać upubliczniona, dopóki nie zostanie usunięta.
Startselect może przyznać ci nagrodę w dowód uznania twojej pomocy. Wartość nagrody może się różnić w zależności od poziomu zagrożenia luki oraz jakości zgłoszenia. Nagroda jest przyznawana wyłącznie według uznania firmy Startselect.

Luki poza zakresem:

ataki socjotechniczne, w tym ataki wymierzone w pracowników wewnętrznych;
ataki z wykorzystaniem sfałszowanych lub fałszywych wiadomości e-mail;
fizyczne ataki na naszą infrastrukturę, obiekty czy biura;
dane wyjściowe skanera lub raporty generowane przez skaner, w tym wszelkie zautomatyzowane lub aktywne narzędzia wykorzystujące luki;
wszelkie luki uzyskane w wyniku włamania na konto pracownika;
luki w sieci:
przejęcie konta (PLA, enumeracja użytkowników itp.);
spam;
clickjacking, CSRF logowania/wylogowania;
fingerprinting, ujawnienie komunikatu o błędzie;
ataki na poziomie protokołu (np. BEAST/BREACH);
brak nagłówków bezpieczeństwa, flagi HttpOnly itp.

Proszę również zajrzeć na stronę https://bughunters.google.com/learn/invalid-reports. W zasadzie zgadzamy się z opinią Google, że nie powinny one być traktowane jako luki.

Ostatnia aktualizacja: 11 czerwca 2022 r.