Политика раскрытия уязвимостей

Обновлено: 3 декабря 2021 г.

Нашли уязвимость? Сообщите нам, и мы её исправим.

Введение

Мы стремимся писать безупречный код без ошибок, однако, как поймёт любой инженер-программист, в большинстве случаев это невозможно. Именно поэтому существует данная Программа раскрытия уязвимостей. В следующем документе изложены правила нашей программы, что вам следует тестировать и какого рода тестов стоит избегать. Здесь также описано, как сообщать о проблемах и какие за это полагаются вознаграждения.

Правила

Правила просты:

Сообщите нам как можно скорее после того, как обнаружите реальную или потенциальную проблему с безопасностью.
Приложите все усилия, чтобы избежать нарушения конфиденциальности, ухудшения пользовательского опыта, нарушения работы производственных систем, а также уничтожения или изменения данных.
Используйте эксплойты только в той мере, в какой это необходимо для подтверждения наличия уязвимости.
Дайте нам разумный срок на устранение проблемы, прежде чем раскрывать её публично.
Не присылайте большое количество отчётов низкого качества.

Область действия

Область действия этой программы включает следующее:

Веб-сайт — windscribe.com
API — api.windscribe.com
Конечные точки VPN
Приложение для Windows
Приложение для MacOS
Приложение для Android
Приложение для iOS
Расширение для Chrome
Расширение для Firefox

Чего следует избегать

Во время поиска багов, пожалуйста, избегайте следующего:

DDoS-атаки на нашу инфраструктуру
Перебор паролей (brute forcing)
Социальная инженерия
Кража больших объёмов данных

Наш ответ

После отправки отчёта вы можете ожидать ответа от нас в течение 48 часов, но обычно гораздо быстрее. Мы попытаемся воспроизвести проблему и развернуть исправление как можно скорее. В большинстве случаев это происходит довольно быстро, но в случае уязвимостей на уровне приложения, требующих обновления, это может занять больше времени. Это само собой разумеется, но мы всё равно скажем: мы не подадим на вас в суд, если вы раскроете нам проблемы.

Вознаграждение за баги

Если ваш отчёт подтверждён и признан проблемой, вы имеете право на вознаграждение за свои усилия. Конкретная сумма зависит исключительно от серьёзности проблемы, которую определяем мы. За время работы мы выплачивали от 100 до 5000 $ за раскрытые уязвимости.

Как сообщить

Чтобы сообщить о проблеме, напишите нам на security (AT) windscribe.com. Наш PGP-ключ можно найти здесь. Пожалуйста, опишите всё максимально подробно и укажите точные шаги для воспроизведения проблемы.

Раскрытие уязвимостей

В случае обнаружения критической проблемы с широким воздействием мы уведомим всех затронутых пользователей по 4 каналам связи: уведомления внутри наших приложений, электронная почта (если она была указана при регистрации), Twitter и Reddit. Полный разбор проблемы и её решения будет опубликован в нашем блоге. Пример добровольного раскрытия.