Обновлено: 3 декабря 2021 г.
Введение
Мы стремимся писать безупречный код без ошибок, однако, как поймёт любой инженер-программист, в большинстве случаев это невозможно. Именно поэтому существует данная Программа раскрытия уязвимостей. В следующем документе изложены правила нашей программы, что вам следует тестировать и какого рода тестов стоит избегать. Здесь также описано, как сообщать о проблемах и какие за это полагаются вознаграждения.
Правила
Правила просты:
- Сообщите нам как можно скорее после того, как обнаружите реальную или потенциальную проблему с безопасностью.
- Приложите все усилия, чтобы избежать нарушения конфиденциальности, ухудшения пользовательского опыта, нарушения работы производственных систем, а также уничтожения или изменения данных.
- Используйте эксплойты только в той мере, в какой это необходимо для подтверждения наличия уязвимости.
- Дайте нам разумный срок на устранение проблемы, прежде чем раскрывать её публично.
- Не присылайте большое количество отчётов низкого качества.
Область действия
Область действия этой программы включает следующее:
- Веб-сайт — windscribe.com
- API — api.windscribe.com
- Конечные точки VPN
- Приложение для Windows
- Приложение для MacOS
- Приложение для Android
- Приложение для iOS
- Расширение для Chrome
- Расширение для Firefox
Чего следует избегать
Во время поиска багов, пожалуйста, избегайте следующего:
- DDoS-атаки на нашу инфраструктуру
- Перебор паролей (brute forcing)
- Социальная инженерия
- Кража больших объёмов данных
Наш ответ
После отправки отчёта вы можете ожидать ответа от нас в течение 48 часов, но обычно гораздо быстрее. Мы попытаемся воспроизвести проблему и развернуть исправление как можно скорее. В большинстве случаев это происходит довольно быстро, но в случае уязвимостей на уровне приложения, требующих обновления, это может занять больше времени. Это само собой разумеется, но мы всё равно скажем: мы не подадим на вас в суд, если вы раскроете нам проблемы.
Вознаграждение за баги
Если ваш отчёт подтверждён и признан проблемой, вы имеете право на вознаграждение за свои усилия. Конкретная сумма зависит исключительно от серьёзности проблемы, которую определяем мы. За время работы мы выплачивали от 100 до 5000 $ за раскрытые уязвимости.
Как сообщить
Чтобы сообщить о проблеме, напишите нам на security (AT) windscribe.com. Наш PGP-ключ можно найти здесь. Пожалуйста, опишите всё максимально подробно и укажите точные шаги для воспроизведения проблемы.
Раскрытие уязвимостей
В случае обнаружения критической проблемы с широким воздействием мы уведомим всех затронутых пользователей по 4 каналам связи: уведомления внутри наших приложений, электронная почта (если она была указана при регистрации), Twitter и Reddit. Полный разбор проблемы и её решения будет опубликован в нашем блоге. Пример добровольного раскрытия.
