INMAGINE Security Disclosure Policy

Levamos a segurança dos nossos sistemas a sério, e valorizamos a segurança dos nossos utilizadores, contribuintes, clientes, e clientes. A revelação de vulnerabilidades de segurança ajuda-nos a garantir a segurança e a privacidade dos nossos utilizadores.

Directrizes

Se visitar o nosso sítio web e notar quaisquer problemas de segurança, exigimos que todos os investigadores:
  • Envidar todos os esforços para evitar violações da privacidade, degradação da experiência do utilizador, perturbação dos sistemas de produção, e destruição de dados durante os testes de segurança;
  • Utilizar os canais de comunicação identificados para nos comunicar informações sobre vulnerabilidade; e
  • Mantenha a informação sobre quaisquer vulnerabilidades que tenha descoberto confidencial entre si e a INMAGINE até que tenhamos tido [90] dias para resolver o problema.

Confidencialidade

Qualquer informação encontrada ou recolhida sobre INMAGINE ou qualquer utilizador INMAGINE através dos bugs de segurança deve ser mantida confidencial e apenas utilizada em relação a nós. O acesso à informação privada de outros utilizadores, a realização de acções que possam afectar negativamente os utilizadores da INMAGINE é estritamente proibido. O utilizador não pode utilizar, divulgar ou distribuir qualquer Informação Confidencial, incluindo, mas não se limitando a, qualquer informação relativa à sua Submissão e informação obtida ao pesquisar os sítios INMAGINE, sem o consentimento prévio por escrito da INMAGINE.

No interesse da segurança dos nossos utilizadores, pessoal, gostaríamos de lhe pedir que se abstenha de o fazer:
  • Spamming.
  • Engenharia social (incluindo phishing) do pessoal da INMAGINE ou de contratantes ou clientes.
  • Quaisquer tentativas físicas contra a propriedade ou centros de dados INMAGINE.
  • Criptominagem.
  • Acesso, ou tentativa de acesso, a dados ou informações que não lhe pertençam.
  • Destruir ou corromper, ou tentar destruir ou corromper, dados ou informações que não lhe pertençam.
  • Causar, ou tentar causar, uma condição de Negação de Serviço (DoS/DDoS).

Se o cliente seguir estas directrizes e nos informar imediatamente, comprometemo-nos a fazê-lo:
  • Não iniciaremos acções legais contra investigadores de segurança que tentem encontrar vulnerabilidades dentro dos nossos sistemas e que adiram a esta política.

Como denunciar uma vulnerabilidade de segurança?

Acreditamos que toda a tecnologia contém bugs e que o público desempenha um papel crucial na identificação desses bugs. Se acredita ter encontrado uma vulnerabilidade de segurança num dos nossos produtos ou plataformas, por favor envie-nos imediatamente uma mensagem de correio electrónico para patrick@123rf.com. Por favor, inclua os seguintes detalhes no seu relatório:
  • Descrição da localização e potencial impacto da vulnerabilidade;
  • Uma descrição detalhada dos passos necessários para reproduzir a vulnerabilidade (scripts POC, capturas de ecrã e capturas de ecrã comprimido são todos úteis para nós); e
  • O seu nome/punho

Elegibilidade

Aceitamos relatórios baseados na severidade não inferior a 6 por CVSS 3.1. A severidade final pode ser ajustada para reflectir o impacto da vulnerabilidade reportada nos nossos domínios.

Mais sobre a pontuação CVSS 3.1: https://www.first.org/cvss/calculator/3.1


No âmbito

*.123rf.com

*.pixlr.com

*.designs.ai


Fora do âmbito de aplicação

Ao comunicar vulnerabilidades, deve considerar o cenário de ataque/exploração, e o impacto do bug na segurança. As seguintes questões são consideradas fora do âmbito deste Programa, e não aceitaremos nenhum dos seguintes tipos de ataques:
  • Ataques de negação de serviço
  • Spam, engenharia social ou técnicas de phishing por e-mail (por exemplo, phishing, vishing, smishing)
  • Falsificação de e-mail
  • Qualquer vulnerabilidade de segurança do lado do cliente (por exemplo, navegadores, plugins)
  • Divulgação da versão de software
  • Descarregar ficheiro reflectido
  • Qualquer problema de acesso físico
  • Páginas acessíveis ao público
  • Qualquer fraqueza ou divulgação de informação que não conduza a uma vulnerabilidade directa
  • Email ou enumeração de contas
  • Execução de comandos CSV e pontos fracos do CSP
  • Quaisquer vulnerabilidades em aplicações ou websites de terceiros não se encontram geralmente no âmbito do nosso Programa.

Alterações aos Termos

Inmagine reserva-se o direito de modificar ou cancelar este Programa de Recompensa de Insectos e as suas políticas em qualquer altura, sem aviso prévio.

Consequentemente, Inmagine pode alterar estes Termos e/ou as suas políticas em qualquer altura, publicando uma versão revista no sítio web de Inmagine. O utilizador aceita os Termos modificados se continuar a participar no Programa de Recompensas de Insectos após a introdução de alterações aos Termos.