Polityka odpowiedzialnego ujawniania informacji

Na stronie eu4ua bezpieczeństwo danych uchodźców, osób goszczących i wolontariuszy jest naszym priorytetem. Celem tej strony ("Zasady odpowiedzialnego ujawniania informacji") jest dostarczenie Ci wszystkich informacji, których potrzebujesz, jeśli odkryłeś potencjalną lukę w którymś z naszych produktów lub usług.

Bardzo cenimy sobie pomoc naszej społeczności i chcemy mieć pewność, że wszelkie ujawnienia są dokonywane w sposób odpowiedzialny. Prosimy o przestrzeganie poniższych warunków:

Problemy można zgłaszać na adres security@eu4ua.org, podając następujące informacje:

  • dotknięty adres URL lub IP
  • opis problemu wraz z listą czynności umożliwiających jego odtworzenie
  • okres czasu, w którym mogłeś zaobserwować problem

Ponieważ jesteśmy stowarzyszeniem, należy pamiętać, że nie oferujemy programu bug bounty. Oznacza to, że nie wypłacamy nagród za ujawnione luki w zabezpieczeniach.

ZAKRES

Zakres obejmuje wszystkie zasoby znajdujące się pod adresemeu4ua.org, z wyjątkiem tych, które są związane z podmiotami trzecimi.

O CO CIĘ PROSIMY

  • Podczas wyszukiwania potencjalnych słabych punktów w naszym systemie, upewnij się, że ustawiłeś następujący nagłówek. Pomoże nam to w odróżnieniu Twoich testów od złośliwych działań.
X-Bug-Hunter: <nickname>

  • Podczas wysyłania raportu prosimy o podanie adresu IP, który został użyty do przeprowadzenia testów.
  • W przypadku wykrycia problemu, który ujawnia dane osobowe (PII), należy zadbać o ich usunięcie natychmiast po ujawnieniu.
  • Użytkownik nie narusza żadnych innych obowiązujących praw ani przepisów.

FAQs

Czego nie należy zgłaszać?

  • Sugestie dotyczące konfiguracji zasad nadawcy (SPF), DKIM i DMARC
  • Ujawnienie znanych publicznych plików lub katalogów (np. robots.txt)
  • Ujawnianie informacji na banerach dotyczących usług wspólnych/publicznych
  • Ataki typu phishing lub socjotechnika

Kiedy otrzymam odpowiedź po dokonaniu ujawnienia?

Nasz zespół wyśle do Ciebie odpowiedź informującą o otrzymaniu zgłoszenia i skontaktuje się z Tobą, jeśli będziemy potrzebować więcej informacji.

Czy po ujawnieniu luki mogę opublikować cokolwiek na jej temat?

Po sprawdzeniu i usunięciu problemu przez nasz zespół wyślemy Ci pisemną zgodę na ujawnienie problemu.

Dziękujemy za wsparcie.