Бесплатная демо

В Talya Bilişim мы очень ценим поддержку исследователей по безопасности информационных технологий и членов кибербезопасности, которые помогают нам поддерживать высокие стандарты безопасности в области информационных технологий.

Если вы обнаружили уязвимость в одном из наших веб-сайтов, пожалуйста, сообщите нам об этом незамедлительно, прежде чем раскрывать уязвимость перед внешним миром, чтобы мы могли принять необходимые меры. Это называется ответственным раскрытием.

Пожалуйста, сохраняйте всю информацию о обнаруженной уязвимости в течение не менее 90 дней в тайне от третьих лиц. Это даст нам возможность определить и применить необходимые меры для устранения проблемы.

Как сообщить нам о проблеме?

Если вы обнаружили уязвимость, пожалуйста, выполните следующие шаги:

Отправьте свое уведомление на адрес электронной почты [email protected] как можно скорее.

Пожалуйста, включите следующую информацию в своём отчете:

  • Ваши контактные данные (имя, адрес электронной почты и т. д.).
  • Тип обнаруженной уязвимости.
  • Сервис/устройство/приложение, на которые влияет уязвимость.
  • Подробное описание проблемы.
  • IP-адрес(а), на котором обнаружена уязвимость, с указанием даты и времени обнаружения.
  • Архивированный файл (zip), содержащий файлы, которые могут помочь воспроизвести ошибку (например, снимки экрана, изображения, текстовые файлы с подробными описаниями, исходный код, скрипты, журналы, исходные IP-адреса и т. д.).

Пожалуйста, относитесь к обнаруженной уязвимости ответственно. Не совершайте никаких действий, выходящих за пределы определения и подтверждения проблемы. Пожалуйста, не используйте обнаруженную уязвимость в своих интересах и избегайте сохранения конфиденциальных данных, полученных в результате проблемы.

Разновидности уязвимостей, на которые мы обратим внимание:

  • Уязвимости внедрения кода и сериализации (SQL-инъекции, инъекции команд, удаление объектов сериализации)
  • Уязвимости аутентификации и управления доступом (неправильная реализация аутентификации, управление сеансами, контроль доступа
  • Раскрытие конфиденциальных данных (уязвимости, которые могут привести к утечке данных)
  • Создание межсайтовых скриптов
  • Фишинг межсайтовых запросов
  • Мошенничество с запросами с серверной стороны
  • Уязвимости перенаправления
  • Незащищенные API

Примеры уязвимостей, на которые мы не обратим внимание:

Мы постоянно отслеживаем наши внешние активы, подверженные воздействию Интернета, чтобы выявить проблемы безопасности и неправильную конфигурацию, поэтому просим вас не сообщать о следующих элементах, если они не приводят к фактической эксплуатации:

  • Слабая конфигурация протокола TLS
  • Сообщения об отклонении от лучших практик (например, конфигурация SPF/DKIM/DMARC, политика безопасности содержимого, неправильная конфигурация TLS)
  • Выводы известных автоматических инструментов/решений

Как мы будем реагировать:

Если вы сообщите о наличии уязвимости на одном из наших вышеуказанных веб-сайтов, мы обработаем ваше уведомление следующим образом:

  • Мы подтвердим получение вашего отчета в течение двух рабочих дней.
  • В ответ на полученное подтверждение мы предоставим вам нашу оценку проблемы и ожидаемую дату решения в течение пяти рабочих дней. Однако в некоторых случаях мы можем продлить этот срок, предоставив соответствующее уведомление.
  • Мы будем сохранять конфиденциальность вашего отчета и не будем делиться вашей информацией с третьими лицами, если это не требуется законом.
  • В настоящее время мы не проводим программу вознаграждений за обнаружение уязвимостей.

Уведомление о конфиденциальности:

Для получения дополнительной информации о том, как мы используем ваши персональные данные в рамках Программы ответственного раскрытия, ознакомьтесь с нашей политикой конфиденциальности.

Let us Call You
Click for Free Demo