Responsible vulnerability disclosure

«Eleving Group»-ը պարտավորվում է ապահովել իր տեղեկատվական ռեսուրսների անվտանգությունը և պաշտպանել այն կիբեր սպառնալիքներից:

Ընկերությունը խրախուսում է անվտանգության խոցելիության բացահայտումը և ողջունում է բոլոր այն անձանց, ովքեր կտեղեկացնեն մեր ծառայությունների և ռեսուրսների անվտանգության խոցելիության մասին:

Մենք ակնկալում ենք զեկույցներ՝ անվտանգության խոցելիության այնպիսի տեղեկությունների մասին, ինչպիսիք են՝ XSS, SQL ներմուծում, գաղտնագրման թերություններ, նույնականացման և այլ թերություններ:

Շրջանակ

Բացառում:

  • autodiscover.mogo.am
  • eleving.com/.env, eleving.com/.aws/config և eleving.com/.aws/credential (Մենք ստուգել  ենք խաբեության ֆայլերի օգտագործումը, այստեղ հավաստի տեղեկություններ չկան։)

Մենք ակնկալում ենք զեկույցներ այնպիսի խոցելիության մասին, ինչպիսիք են՝ Cross-Site Scripting (XSS), SQL ներարկումներ, գաղտնագրման թերություններ, կոդերի հեռավոր կատարում, իսկորոշման թերություններ և այլն:

Անվտանգության խոցելիության բացահայտման համար չի թույլատրվում կիրառել հետևյալ թեստերի տեսակները

  • Ծառայության բաշխված մերժում (DoS, DDoS),
  • Տվյալների կոտրում,
  • Սոցիալական ճարտարագիտություն
  • Ֆիզիկական մուտքի փորձարկում
  • Ոչ տեխնիկական խոցելիության ցանկացած այլ թեստավորում

Իրավական բացահայտում

Մենք ընդունում ենք անվտանգության խոցելիության մասին հաշվետվությունները վերը թվարկված շրջանակների համար, և համաձայնում ենք, բարեխղճորեն իրավական գործողություններ չձեռնարկել այն անհատների դեմ, ովքեր՝

  • Անվտանգության խոցելիության հետազոտության ժամանակ չեն խախտել սույն քաղաքականության դրույթները,
  •   Ապրանքների և ծառայությունների փորձարկմանը մասնակցելիս չեն վնասել մեր համակարգերը և տվյալները,
  • Զերծ են մնացել հայտնաբերված անվտանգության խոցելիության մանրամասները հանրությանը հայտնելուց՝ մինչև փոխադարձ համաձայնեցված ժամկետի ավարտը։

Մենք իրավունք ենք վերապահում ընդունել կամ մերժել խոցելիության մասին ցանկացած զեկույց և գործել ներքին կանոնների և ընթացակարգերի համաձայն:

 Ինչպե՞ս կարող եք տեղեկացնել

Եթե կարծում եք, որ մեր տեղեկատվական ռեսուրսներում խոցելիություն եք հայտնաբերել, խնդրում ենք կապ հաստատել մեզ հետ security@eleving.com հասցեով և ներառել հետևյալ տեղեկությունները.

  •  Խոցելիության մանրամասն նկարագրություն,
  •  Խոցելիության օգտագործման վերաբերյալ մանրամասն տեղեկատվություն,
  • Հնարավորության դեպքում հղում, սքրինշոթ կամ ցանկացած այլ տեղեկատվություն, որը կարող է օգնել մեզ բացահայտել ձեր հայտնաբերած խոցելիությունը:

Ի՞նչ ակնկալիքներ ունենք ձեզանից

Խնդրում ենք նկատի ունենալ, որ խոցելիության հետազոտության ժամանակ խիստ կարևոր է հետևել հետևյալ կանոններին

  • Չօգտագործել հայտնաբերված խոցելիությունը՝ ձեզ չպատկանող տեղեկատվություն մուտք գործելու կամ փորձելու համար (կիրառել միայն խոցելիության առկայությունը ապացուցելու համար),
  • Չօգտագործել հայտնաբերված խոցելիությունը՝ տեղեկատվությունը հեռացնելու կամ փոփոխելու համար,
  • Ժամանակին տեղեկացնել խոցելիության մասին և թույլ տալ շտկել այն՝ նախքան դրա հրապարակումը:

Ի՞նչ ակնկալել մեզանից

Մենք ֆինանսական փոխհատուցում չենք առաջարկում, սակայն հաղորդված խոցելիությունը լուծվելուն պես, կարող ենք օգնություն և տեղեկատվություն տրամադրել Ձեր հրապարակման համար, եթե դրա վերաբերյալ առկա է եղել փոխադարձ համաձայնություն։