Политика ответственного распространения информации

image

Политика ответственного распространения информации

Информация, данные и поддерживающие их процессы, информационные системы и сети жизненно важны для компании Бюлер, наших заказчиков и других деловых партнеров. Соблюдение конфиденциальности, целостности и доступности полезной информации является одним из основных аспектов доверия, которое оказывают нам наши заказчики и деловые партнеры. Мы будем очень рады, если вы сообщите нам об обнаруженных проблемах безопасности или уязвимостях. В данном документе описывается порядок подачи таких отчетов и обеспечения ответственного распространения информации в компании Бюлер.

+

Отчет

Координатором отчетов является отдел информационной безопасности компании Бюлер, с которым можно связаться по адресу security[at]buhlergroup.com.

При подаче информации об уязвимостях в системе безопасности, пожалуйста, указывайте следующие элементы:
 

  • Тип уязвимости.
  • Точное описание уязвимости и затронутых элементов/активов.
  • Четкое пояснение, почему вы считаете, что это проблема безопасности или уязвимость.
  • Дополнительная полезная информация, например, действия по воспроизведению проблемы, снимки экрана, сценарии тестирования и т.п.

Рекомендации

В целях содействия ответственному распространению информации мы рекомендуем соблюдать следующие общие правила:
 

  • У компании Бюлер должно быть достаточно времени (мин. 60 дней) для проверки отчета и устранения ошибок. В течение этого времени не передавайте информацию третьим лицам или общественности без нашего разрешения.
  • При проведении каких-либо тестов не допускайте ухудшения качества услуг и продукции компании Бюлер. Не проводите DoS-атаки.
  • Не получайте, не изменяйте и не уничтожайте какую бы то ни было потенциально конфиденциальную информацию, если выявленная уязвимость позволяет вам это сделать.
  • Не предоставляйте отчеты, полученные от автоматических сканеров, без ручной проверки уязвимости.
  •  

Если вы будете следовать этим рекомендациям, мы обязуемся:

  • Не преследовать и не поддерживать какие-либо судебные иски, связанные с вашими исследованиями.
  • Сотрудничать с вами, чтобы выяснить и быстро устранить проблему, включая первоначальное подтверждение вашего отчета в течение 5 дней после отправки.
  • Рассмотреть возможность выплаты вознаграждения в зависимости от критичности выявленной проблемы и затрагиваемой информации/системы/сервиса; но в любом случае, если выявленная проблема соответствует данной политике и если вы этого пожелаете, мы впишем вас в нашу «Доску почета». Это условие действует, если вы первый, кто сообщил о проблеме, о которой мы не знали. Учитывайте, что если выявленная проблема влияет на продукцию, ПО или услугу третьих лиц, мы не сможем предложить вознаграждение, но будем рады попросить об этом третью сторону.

 

Область применения

Уязвимости в области применения

К этой категории может относиться любая проблема, затрагивающая конфиденциальность или целостность информации, описанная понятным образом (от конца до конца). Примеры:

  • Межсайтовые сценарии (XSS)
  • Подделка межсайтовых запросов (CSRF)
  • Бреши в процессе аутентификации или авторизации
  • Внедрение SQL-кода (SQLI)
  • Выполнение удаленного кода (RCE)
  • Локальные или удаленные включения файлов

 

Уязвимости вне обалсти применения

Следующие уязвимости не рассматриваются и не будут оплачиваться:

  • Сбои из-за DoS-атак.
  • Ошибки, не затрагивающие конфиденциальность, целостность или доступность информации или соответствующей услуги/актива или не представляющие прямого риска для безопасности.
  • Утечка некритичной информации.
  • Записи DNS, такие как SPF, MARC, DKIM.
  • Подделка межсайтовых запросов с выходом из системы.
  • Проблемы, связанные с сертификатом TLS/SSL, например слабые шифры или устаревшие протоколы.
  • Проблемы, которые могут быть воспроизведены только с помощью «кликджекинга».
  • Уязвимости, для активации которых жертве необходимо установить нестандартное программное обеспечение или предпринять другие активные действия.
  • Уязвимости, которые включают/требуют социальной инженерии в отношении наших сотрудников или заказчиков.
  • Атаки, требующие физического доступа к устройству или системе.
  • Цепочки гипотетических атак, в которых выявленная уязвимость приведет к проблеме безопасности только в связке с предполагаемой/гипотетической ситуацией.
  • Отсутствие флагов cookie для нечувствительных файлов cookie.
  • Отсутствие заголовков http, которые не приводят напрямую к уязвимости.
  • Наличие баннера или информации о версии, если она не связана с уязвимой версией.

Доска почета

Перечисленные далее люди сообщили об имеющихся проблемах с безопасностью и помогли сделать компанию Бюлер более защищенной.
 

Исполнитель

Дата

Описание

Shlok K

February 2023

Reported a security misconfiguration on a publicly exposed system.

Himanshu Sondhi

February 2023

Reported a vulnerability in a publicly exposed test system.

Athbi

January 2023

Reported two authentication/authorization issues on API endpoints of a web application.

Vishal Vishwakarma

January 2023

Reported a vulnerable component in a service of a third party provider.

Raju Basak+ Pagli 

November 2022

Reported a valid vulnerability in a web application.

Bibek Shah

October 2022

Performed and reported subdomain takeover on two subdomains

Haidder Ali Chatha

Сентябрь 2022 г.

Сообщил о нескольких существующих уязвимостях в веб-приложении

Shashank Sawant

  Май 2022 г.

Сообщил о существующей уязвимости в веб-приложении.

Huzefa Surme

Январь 2022 г.

Сообщил о существующей уязвимости в веб-приложении.

Rushabh Vyas

Январь 2022 г.

Сообщил о существующей уязвимости в веб-приложении.

Ravindra Dagale

Октябрь 2021 г.

Сообщил об уязвимом устаревшем компоненте в веб-приложении.

Yunus Yildirim

Октябрь 2021 г.

Сообщил о существующей уязвимости в веб-приложении.

Mohammed Eldawody

Август 2021 г.

Сообщил о четырех существующих проблемах и предоставил документированные разъяснения.