Политика ответственного раскрытия информации об обнаруженных уязвимостях (bugbounty-программа)

Безопасность наших систем — один из главных приоритетов Timeweb. Несмотря на то, что мы прикладываем все усилия для обеспечения безопасности систем, в них могут оставаться уязвимости.
Если вы обнаружите уязвимость, просим вас сообщить о ней как можно скорее, чтобы мы смогли предпринять шаги для ее устранения. Пожалуйста, следуйте данным инструкциям, чтобы помочь нам защитить наших клиентов и наши системы.

Пожалуйста, сделайте следующее:

  • Отправьте информацию об известных вам уязвимостях в сервисах и ресурсах Timeweb, используя следующую почту security@timeweb.ru . 

Мы просим вас:

  • Сообщить об уязвимости как можно скорее, чтобы свести к минимуму риск того, что ею воспользуются злоумышленники.
  • Сообщить об уязвимости таким образом, чтобы гарантировать конфиденциальность вашего сообщения и избежать утечки информации об уязвимости.
  • Предоставить достаточно информации для воспроизведения проблемы. Обычно достаточно указать IP-адрес или URL ресурса и описать уязвимость; однако сложные уязвимости могут потребовать дополнительных сведений.
  • Не раскрывать третьим лицам информацию об уязвимости, пока она не будет устранена.
  • Не создавать собственный бэкдор в информационной системе с целью демонстрации уязвимости, поскольку это может нанести дополнительный ущерб и создать ненужные риски безопасности.
  • Не использовать уязвимость в большей степени, чем это необходимо для подтверждения ее наличия.
  • Не вносить изменения в систему; не копировать, не изменять и не удалять данные в системе
  • Не использовать атаки методом перебора, атаки на физическую безопасность, DDoS-атаки, социальную инженерию, спам или сторонние приложения, чтобы получить доступ к системе.

Мы обещаем:

  • Предоставить ответ на ваше сообщение об уязвимости в течение 5 рабочих дней, с нашей оценкой полученных сведений и ожидаемой датой решения.
  • Не предпринимать в отношении вас никаких юридических мер, если вы следовали инструкциям выше.
  • Не передавать ваши персональные данные третьим лицам без вашего согласия, за исключением случаев, когда это необходимо для соблюдения установленных законом обязательств. (Вы также можете отправить сообщение под псевдонимом или анонимно).
  • Держать вас в курсе решения проблемы.
  • Сообщить в общедоступной информации об уязвимости, что она была обнаружена именно вами (если вы не пожелаете скрыть свои данные).
  • Произвести денежное вознаграждение удобным способом за предоставление релевантной информации об уязвимости в размере, зависящим от критичности уязвимости.
Мы приложим все усилия, чтобы решить любую проблему как можно быстрее, и хотели бы играть активную роль в публикации итоговой информации о проблеме после ее устранения
Настоящая Политика составлена на основе Руководства по ответственному раскрытию информации NCSC.