nhiephon
Обнаружил(а) в VIS открытую публичную ссылку на API Google Карты.
Центр по исследованию коррупции и организованной преступности сотрудничает с десятками расследовательских изданий и сотнями журналистов по всему миру. Безопасность наших источников и коллег — наш основной приоритет.
В любом ПО есть ошибки. У нас несколько сайтов и сервисов, это миллионы строк кода. Мы стремимся тестировать и защищать их как можно лучше, однако наши ресурсы ограниченны. Поэтому мы высоко ценим любые ответственно раскрытые данные о потенциальных уязвимостях или угрозах безопасности наших сервисов.
Политика ответственного раскрытия данных об уязвимостях
Адрес для связи: security@occrp.org, ключ PGP/GPG: 8AA2 D5B4 A0B5 B3DA E547 238C 5237 8B24 FB18 D161.
Правила
Если вы создаете учетную запись в исследовательских целях, пожалуйста, добавьте к имени пользователя префикс «bugbounty_». Это применимо только к системам, которые позволяют пользователям регистрироваться для оценки.
Если в ходе оценки вы обнаружите конфиденциальную информацию, такую как персональные или учетные данные и т. д., не сохраняйте, не копируйте, не храните, не передавайте и не раскрывайте эту информацию или персональные данные.
Не используйте приемы информационно-психологической атаки, фишинга и физической атаки офисов, пользователей или сотрудников.
Оставайтесь в рамках программы ответственного раскрытия данных об уязвимостях.
Будьте вежливы с нашей командой.
В случае нарушения правил вас могут исключить из программы ответственного раскрытия данных об уязвимостях.
Мы оставляем за собой право изменять правила программы и в любой момент считать любые заявки недействительными. Мы в любое время без предварительного уведомления можем свернуть программу ответственного раскрытия данных об уязвимостях.
О найденных уязвимостях сообщайте по адресу security@occrp.org. Не публикуйте данные о них на GitHub или других публичных ресурсах.
Где искать уязвимости
На сервисах occrp.org и *.occrp.org, включая aleph.occrp.org
Поддерживаемые версии ПО с открытым исходным кодом Aleph в репозитории GitHub
Проблемы, о которых сообщать не нужно:
Атаки с захватом DNS
Кликджекинг без демонстрации вредоносного воздействия
Уязвимости типа «отказ в обслуживании» с использованием перегрузки вычислительной мощности или множественных запросов
Проблемы с конфигурацией сервера ретрансляции почты
Отсутствующие / некорректно настроенные записи DNS SPF
Отсутствие протокола DNSSEC
Отсутствие заголовков Public Key Pinning
Атаки типа Self-XSS
Раскрытие версии ПО
Атаки XSS, требующие устаревших браузеров
Порядок действий
Обнаружив проблему безопасности, сообщите о ней по адресу security@occrp.org.
На обработку сообщения может понадобиться до пяти рабочих дней.
Мы согласуем с вами дату выпуска рекомендаций и исправления ошибок.
Раскрытие данных
Программа допускает ответственное раскрытие данных об уязвимостях, и мы готовы сотрудничать с вами, если вы захотите написать об ошибках в блоге.
Компенсация
Мы некоммерческая организация и, к сожалению, не можем предложить никакой компенсации за раскрытые уязвимости. Однако мы с радостью отдаем должное тем, кто нам помогает.
Галерея славы
Мы хотим поблагодарить организации и хакеров, которые ответственно раскрывают уязвимости наших сервисов и помогают нам, нашим коллегам и источникам оставаться в безопасности.