INMAGINE Security Disclosure Policy

Komolyan vesszük rendszereink megbízhatóságát, és nagyra értékeljük felhasználóink, szerzőink és ügyfeleink biztonságát. A biztonsági rések közzétételével segíteni kívánjuk felhasználóink biztonságát és személyes adatainak védelmét.

Irányelvek

Ha meglátogatja weboldalunkat, és biztonsági problémákat észlel, akkor elvárjuk öntől, hogy:
  • Tegyen meg mindent annak érdekében, hogy elkerülje a magánélet megsértését, a felhasználói élmény csökkenését, a rendszer működésének zavarait és az adatvesztést a biztonsági tesztelés során;
  • A megadott kommunikációs csatornákon keresztül jelentheti nekünk a sebezhetőségi információkat; és
  • Mentse el és kezelje bizalmasan az ön és az INMAGINE között felfedezett sebezhetőségeket, amíg megoldjuk a problémát, legfeljebb [90] napig.

Titoktartás

Bármilyen információt, amelyet az INMAGINE-ről vagy az INMAGINE bármely felhasználójáról a biztonsági hibák révén talált vagy gyűjtött, bizalmasan kell kezelni, és csak velünk szabad megosztani. Szigorúan tilos hozzáférni más felhasználók személyes adataihoz, olyan tevékenységeket végrehajtani, amelyek negatívan befolyásolhatják az INMAGINE felhasználókat. Az INMAGINE előzetes írásbeli beleegyezése nélkül nem használhat fel, nem hozhat nyilvánosságra vagy terjeszthet ilyen Bizalmas Információt, beleértve, de nem kizárólag, az ön által beküldött információkat és az INMAGINE webhelyek használata során szerzett információkat.

Felhasználóink, munkatáraink biztonsága érdekében arra kérjük Önt, hogy tartózkodjon az alábbiaktól:
  • Spamelés.
  • Az INMAGINE munkatársainak, vállalkozóinak vagy ügyfeleinek pszichológiai manipulációja (beleértve az adathalászatot).
  • Bármilyen fizikai támadás kísérlete az INMAGINE tulajdona vagy adatközpontjai ellen.
  • Rosszindulatú kriptovaluta-bányászat (Cryptomining).
  • Minden olyan kísérlet, ami nem az önhöz tartozó adatokhoz vagy információkhoz való hozzáférésre tesz.
  • Olyan adat vagy információ megsemmisítése vagy megrongálása, vagy ezekre tett kísérlet, amelyek nem tartoznak személyesen önhöz.
  • Szolgáltatásmegtagadás (DoS / DDoS) állapot okozása vagy arra tett kísérlet.

Ha betartja ezeket az irányelveket, és azonnal jelentést tesz nekünk, vállaljuk, hogy:
  • Nem indítunk jogi lépéseket a biztonsági réseket és hibákat kutató személy ellen, amennyiben rendszereinket kutatja és betartja ezen irányelveinket.

Hogyan jelenthetem a biztonsági rést?

Tisztában vagyunk azzal, hogy minden technológia tartalmaz hibákat, és hogy a nyilvánosság döntő szerepet játszik ezeknek a hibáknak az azonosításában. Ha úgy gondolja, hogy biztonsági rést talált termékeink vagy platformjaink egyikében, kérjük, azonnal küldje el nekünk a következő email címre: patrick@123rf.com. Kérjük, a bejelentésbe foglalja bele a következőket:
  • A sérülékenység helyének és lehetséges hatásainak leírása;
  • A sérülékenység reprodukálásához szükséges lépések részletes leírása (a POC-parancsfájlok, a képernyőképek és a tömörített képernyő-rögzítések egyaránt hasznosak számunkra); és
  • Az ön neve / felhasználóneve

Jogosultság

CVSS 3.1-ként legalább 6 súlyosság alapján fogadunk be jelentéseket. A végső súlyosságot ki lehet igazítani, hogy tükrözze a bejelentett sebezhetőség hatását a domainjeinkre.

További információ a CVSS 3.1 pontozásáról: https://www.first.org/cvss/calculator/3.1


Hatókör

*.123rf.com

*.pixlr.com

*.designs.ai


Hatáskörön kívül

A biztonsági rések jelentésekor vegye figyelembe a támadás forgatókönyvét / kihasználhatóságát és a hiba biztonsági hatásait. A következő kérdéseket a program nem tartalmazza, és nem fogadjuk el a következő típusú támadások egyikét sem:
  • Szolgáltatásmegtagadással járó támadások
  • Spam, pszichológiai manipulációs vagy e-mailes adathalász technikák (pl. phishing, vishing, smishing)
  • E-mail hamisítás
  • Bármely biztonsági rés az ügyfél oldalon (pl. böngészők, bővítmények)
  • Szoftver verzió közzététele
  • Reflektált fájlletöltés
  • Bármilyen fizikai hozzáférési probléma
  • Nyilvánosan elérhető oldalak
  • Minden olyan gyengeség vagy információ nyilvánosságra hozatal, amely nem vezet közvetlen sebezhetőséghez
  • E-mail vagy postafiók felsorolása
  • A CSV parancs végrehajtása és a CSP gyengeségei
  • A harmadik féltől származó alkalmazások vagy webhelyek bármely sérülékenysége általában nem tartozik a Programunk hatálya alá.

A feltételek módosítása

Az Inmagine fenntartja a jogot, hogy ezt a Bug Bounty Programot és irányelveit bármikor, előzetes értesítés nélkül módosítsa vagy törölje.

Ennek megfelelően az Inmagine bármikor módosíthatja ezeket a feltételeket és / vagy házirendjét azáltal, hogy közzétesz egy módosított verziót az Inmagine weboldalán. Ön elfogadja a módosított feltételeket, ha továbbra is részt kíván venni a Bug Bounty Programban, a feltételek módósítását követően is.