Ответственное раскрытие информации

В Talya Bilişim мы очень ценим поддержку исследователей по безопасности информационных технологий и членов кибербезопасности, которые помогают нам поддерживать высокие стандарты безопасности в области информационных технологий.

Если вы обнаружили уязвимость в одном из наших веб-сайтов, пожалуйста, сообщите нам об этом незамедлительно, прежде чем раскрывать уязвимость перед внешним миром, чтобы мы могли принять необходимые меры. Это называется ответственным раскрытием.

Пожалуйста, сохраняйте всю информацию о обнаруженной уязвимости в течение не менее 90 дней в тайне от третьих лиц. Это даст нам возможность определить и применить необходимые меры для устранения проблемы.

Как сообщить нам о проблеме?

Если вы обнаружили уязвимость, пожалуйста, выполните следующие шаги:

Отправьте свое уведомление на адрес электронной почты [email protected] как можно скорее.

Пожалуйста, включите следующую информацию в своём отчете:

• Ваши контактные данные (имя, адрес электронной почты и т. д.).
• Тип обнаруженной уязвимости.
• Сервис/устройство/приложение, на которые влияет уязвимость.
• Подробное описание проблемы.
• IP-адрес(а), на котором обнаружена уязвимость, с указанием даты и времени обнаружения.

• Архивированный файл (zip), содержащий файлы, которые могут помочь воспроизвести ошибку (например, снимки экрана, изображения, текстовые файлы с подробными описаниями, исходный код, скрипты, журналы, исходные IP-адреса и т. д.).

Пожалуйста, относитесь к обнаруженной уязвимости ответственно. Не совершайте никаких действий, выходящих за пределы определения и подтверждения проблемы. Пожалуйста, не используйте обнаруженную уязвимость в своих интересах и избегайте сохранения конфиденциальных данных, полученных в результате проблемы.

Разновидности уязвимостей, на которые мы обратим внимание:

• Уязвимости внедрения кода и сериализации (SQL-инъекции, инъекции команд, удаление объектов сериализации)
• Уязвимости аутентификации и управления доступом (неправильная реализация аутентификации, управление сеансами, контроль доступа
• Раскрытие конфиденциальных данных (уязвимости, которые могут привести к утечке данных)
• Создание межсайтовых скриптов
• Фишинг межсайтовых запросов
• Мошенничество с запросами с серверной стороны
• Уязвимости перенаправления
• Незащищенные API

Примеры уязвимостей, на которые мы не обратим внимание:

Мы постоянно отслеживаем наши внешние активы, подверженные воздействию Интернета, чтобы выявить проблемы безопасности и неправильную конфигурацию, поэтому просим вас не сообщать о следующих элементах, если они не приводят к фактической эксплуатации:

• Слабая конфигурация протокола TLS
• Сообщения об отклонении от лучших практик (например, конфигурация SPF/DKIM/DMARC, политика безопасности содержимого, неправильная конфигурация TLS)
• Выводы известных автоматических инструментов/решений

Как мы будем реагировать:

Если вы сообщите о наличии уязвимости на одном из наших вышеуказанных веб-сайтов, мы обработаем ваше уведомление следующим образом:

• Мы подтвердим получение вашего отчета в течение двух рабочих дней.
• В ответ на полученное подтверждение мы предоставим вам нашу оценку проблемы и ожидаемую дату решения в течение пяти рабочих дней. Однако в некоторых случаях мы можем продлить этот срок, предоставив соответствующее уведомление.
• Мы будем сохранять конфиденциальность вашего отчета и не будем делиться вашей информацией с третьими лицами, если это не требуется законом.

• В настоящее время мы не проводим программу вознаграждений за обнаружение уязвимостей.

Уведомление о конфиденциальности:

Для получения дополнительной информации о том, как мы используем ваши персональные данные в рамках Программы ответственного раскрытия, ознакомьтесь с нашей политикой конфиденциальности.