Bug Bounty

Vážime si a odmeňujeme bezpečnostných výskumníkov, ktorí nám pomáhajú chrániť používateľov nahlasovaním chýb a zraniteľností v našich službách. V prípade, že ste presvedčený, že ste našli bezpečnostnú zraniteľnosť na niektorom z portálov alebo služieb prevádzkovanými spoločnosťou Ringier Axel Springer Slovakia (daľej RAS SK), odporúčame vám neodkladne nás oboznámiť s danou skutočnosťou.

Každé legitímne oznámenie dôkladne preskúmame a chybu, ak existuje, opravíme v čo najkratšom možnom čase a zároveň sa dohodneme na odmene. Predtým, ako pošlete hlásenie o chybe, prečítajte si nasledujúce riadky, Pravidlá zodpovedného nahlásenia a chyby, ktoré by ste nemali reportovať.

V prípade, že dodržíte nasledujúce pravidlá pri oznamovaní bezpečnostnej chyby, nebude započaté právne konanie v súvislosti s predmetom vášho reportu. Žiadame vás aby:

  • ste nám poskytli dostatočný čas na preskúmanie a odstránenie chyby resp. zmiernenie rizík pred tým, ako zverejníte skutočnosti súvisiace s hlásením alebo budete zdieľať danú informáciu s inými
  • ste sa vyhli interakcii s účtom jednotlivca (vrátne prístupu k dátam a modifikovania dát v rámci účtu) ak daný jednotlivec nedal k tomu súhlas
  • ste vynaložili maximálnu snahu pre zamedzenie narušenia súkromia a služby iným používateľom, vrátane (no nie obmedzené na) poškodenia dát, prerušenia alebo degradácie našich služieb
  • ste nezneužili nájdenú / zistenú bezpečnostnú zraniteľnosť z akéhokoľvek dôvodu a akýmkoľvek spôsobom
  • hlásenie nebolo v rozpore s platnou legislatívou a reguláciami

Ako sme už spomínali, vítame vašu snahu lepšie chrániť našich používateľov. Odmeny za hlásenia sú stanovené a vyčíslené podľa uváženia RAS SK na základe rizika, dopadu a iných faktorov. Aby ste sa kvalifikovali pre získanie odmeny, musíte najskôr splniť nasledovné požiadavky:

  • dodržať našu RSP (vyššie)
  • nahlásiť bezpečnostnú chybu; teda, identifikovať zraniteľnosť v našich systémoch alebo infraštruktúre, ktorá vytvára bezpečnostné riziko alebo riziko narušenia súkromia (RAS SK posúdi riziko a typ problému, nakoľko veľké množstvo softvérových chýb nepredstavuje bezpečnostné riziko)
  • váš report musí popisovať problém týkajúci sa jedného z produktov alebo služieb uvedených v časti Vymedzenie produktov
  • váš report musí popisovať problém, ktorý nespadá medzi tzv. Vylúčené hlásenia a neplatné výsledky
  • nahlásite chybu čo najpodrobnejším vyplnením a odoslaním formulára nižšie
  • nekontaktujte priamo zamestnancov ohľadom chyby / reportu, ani nepoužívajte iné kanály
  • ak ste nechcene spôsobili narušenie súkromia alebo narušenie služby (ako napr. prístup k dátam používateľa, konfigurácii / dátam služby alebo iným dôverným údajom) popri hľadaní / vyšetrovaní chyby, uveďte to vo vašom reporte
  • počas prešetrovania chyby využívajte výlučne testovacie účty, pokiaľ nie je možné nasimulovať chybu, môžete použiť reálne
  • nikdy nepoužívajte reálne účty našich používateľov na testovanie pomocou automatických nástrojov
  • nevyužívajte na testovanie cielene účty niektorých používateľov (napr. netestujte chyby úmyselne voči účtom zamestnancov RAS SK)

RAS SK dodrží nasledovné pravidlá pri vyhodnocovaní hlásení v rámci Programu odmeny chýb:

  • Prešetríme a odpovieme na všetky oprávnené hlásenia. Z dôvodu pracnosti a objemu, si však vyhradzujeme právo prioritizovať vyhodnotenia na základe rizika a ďalších faktorov, preto môže trvať istý čas, kým vám odpovieme.
  • Výšku odmeny stanovujeme na základe viacerých faktorov, vrátane (no nielen) dopadu, náročnosti zneužitia / použitia a kvality reportu. V prípade, že report odmeníme, minimálna odmena je 100 €. Hlásenia, kde je povaha problému nízkeho rizika, nebudú kvalifikované na odmenu.
  • V prípade duplicitného nahlásenia odmeníme prvú osobu ktorá nahlásila riziko. Odmena je vyplatená len jednej osobe / jedenkrát.
  • Rezervujeme si právo report publikovať (vrátane prípadných updatov).
  • Odmena nemôže byť v rozpore s platnou legislatívou, obchodnými zákonmi Slovenskej republiky a prípadnými ekonomickými reštrikciami.

Aby ste sa kvalifikovali na odmenu, reportujte chybu podľa uvedených pravidiel na kvalifikovaných produktoch, službách alebo akvizíciach RAS SK:

  • Aktuality.sk
  • Pokec
  • Tivi
  • Život
  • Bistro.sk
  • Casprezeny.sk
  • Eva
  • AutoBild
  • Nový Čas
  • Dobruchut.sk
  • Diva.sk
  • Živé
  • Šport.sk
  • Najmama.sk
  • Azetmail
  • Azet Katalóg
  • Autobazar.sk
  • Autovia.sk
  • Nehnuteľnosti.sk
  • Reality.sk
  • Bazár.sk

Služby, ktoré nie sú vlastnené RAS SK (napr. WordPress, atď), nie sú oprávnené do programu odmeny hlásenia chýb. Aj napriek tomu že sa snažíme aktívne riešiť zraniteľnosti služieb ktoré používame, nedokážeme garantovať aplikovanie našej RSP u iných spoločností.

Ďalej sú z programu vylúčené hlásenia, pri ktorých ide o:

  • spam alebo social engineering techniky
  • denial-of-service útoky
  • content injection - content spoofing
  • priamy prístup k fotkám s použitím raw image URL adries z nášho CDN

Formulár

V prípade, že ste presvedčený, že ste našli bezpečnostnú chybu na niektorej zo služieb prevádzkovaných a vlastnených spoločnosťou Ringier Axel Springer Slovakia, vyplňte prosím nasledovný formulár s dostatočným vysvetlením zraniteľnosti. V rámci pravidiel zodpovedného hlásenia vás prosíme o poskytnutie dostatočného času na preskúmanie a odstránenie zraniteľnosti predtým, ako by ste danú informáciu zdieľali s ostatnými. Viac informácií nájdete v textoch vyššie.

Čo je výsledkom zraniteľnosti? Môže užívateľ vidieť dáta ku ktorým nemá mať prístup? Čo môžete robiť s využitím zraniteľnosti?

Postupné kroky ako je možné zraniteľnosť reprodukovať a teda testovať. Buďte stručný, ale presný a faktický. Aký typ prehliadača a akú verziu? Aká platforma? Aká verzia OS systému mobilného software?