01Jak zgłosić
Wyślij wiadomość na adres security@blackflake.com. Preferowane języki: angielski, polski.
Dobre zgłoszenie powinno zawierać:
- Wyraźny opis podatności i jej potencjalnego wpływu.
- Instrukcje reprodukcji krok po kroku, kod proof-of-concept jeśli ma zastosowanie, oraz adres URL, endpoint lub zasób, którego dotyczy problem.
- Twoje imię lub pseudonim (abyśmy mogli Cię wskazać w podziękowaniach, jeśli sobie tego życzysz) oraz niezawodny adres kontaktowy.
Szczegóły w formacie maszynowym: /.well-known/security.txt zgodnie z RFC 9116.
02Zakres
Zasoby objęte tą polityką:
- Domena
blackflake.pliblackflake.comoraz wszelkie bezpośrednie subdomeny prowadzone przez Bennovate sp. z o.o. - Publicznie dostępne usługi i endpointy Blackflake przetwarzające dane klientów lub enterprise.
03Poza zakresem
- Wyniki dotyczące zewnętrznych usługodawców, z których korzystamy jako podmiotów przetwarzających (np. dostawcy hostingu, dostawcy poczty e-mail), chyba że dotyczą bezpośrednio naszej konfiguracji lub ekspozycji. Takie wyniki zgłaszaj bezpośrednio do odpowiedniego dostawcy.
- Ataki socjotechniczne, phishing lub ataki na bezpieczeństwo fizyczne skierowane wobec pracowników lub biur.
- Testy denial-of-service, ataki wolumetryczne lub automatyczny fuzzing istotnie degradujący dostępność usługi.
- Zgłoszenia z automatycznych skanerów podatności bez udokumentowanej możliwości exploitacji.
- Brak wzmocnień bezpieczeństwa (dyrektywy CSP, HSTS preload, DNS CAA itp.) bez wykazanego wpływu. Przyjmujemy takie uwagi jako sugestie, ale nie kwalifikują się do priorytetowej odpowiedzi.
04Zasady postępowania
- Testuj wyłącznie zasoby, do których masz upoważnienie — niniejsza polityka stanowi upoważnienie dla zasobów w powyższym zakresie.
- Dołóż starań, by unikać naruszenia prywatności, zniszczenia danych i przerw w działaniu usługi.
- Nie uzyskuj dostępu do danych, nie kopiuj ich ani nie exfiltruj ponad to, co jest absolutnie niezbędne do zademonstrowania podatności.
- Nie używaj automatycznych skanerów generujących ruch powyżej niskiego progu sondowania.
- Nie ujawniaj publicznie podatności, zanim nie dasz nam rozsądnej szansy na jej usunięcie — patrz harmonogram ujawniania poniżej.
05Bezpieczna przystań
Jeśli działasz w dobrej wierze i w ramach powyższych zasad, nie będziemy wszczynać ani wspierać postępowania prawnego przeciwko Tobie za działalność badawczą na zasobach objętych zakresem. Dotyczy to działań, które mogłyby być w innych okolicznościach zakazane na podstawie przepisów o nieuprawnionej ingerencji w systemy informatyczne lub praw autorskich, gdy są wykonywane w ramach zwykłych badań bezpieczeństwa. Jeśli strona trzecia podejmie działania, dołożymy rozsądnych starań, by wyjaśnić, że Twoja działalność była autoryzowana przez niniejszą politykę.
Bezpieczna przystań nie obejmuje celowego niszczenia danych, wymuszeń, udostępniania exfiltrowanych danych stronom trzecim ani działań poza wskazanym zakresem.
06Nasza odpowiedź
| Etap | Cel |
|---|---|
| Pierwsze potwierdzenie | W ciągu 3 dni roboczych |
| Triage i ocena powagi | W ciągu 10 dni roboczych |
| Zobowiązanie do naprawy | W ciągu 30 dni od triage lub szybciej w przypadku krytycznych wyników |
| Podziękowanie i publiczne uznanie | Na życzenie, po usunięciu podatności |
Będziemy Cię informować o postępach w naprawie. Nie prowadzimy obecnie płatnego programu nagród (bug bounty).
07Ujawnianie
Preferujemy skoordynowane ujawnianie. O ile nie uzgodniono inaczej, prosimy badaczy o zachowanie 90 dni od pierwszego zgłoszenia przed publicznym ujawnieniem. Jeśli podatność jest aktywnie wykorzystywana lub wzgląd na interes publiczny jest silny, będziemy współpracować w trybie przyspieszonym.
Dziękujemy za poświęcony czas na poprawę bezpieczeństwa naszych systemów.