Signaler des problèmes de sécurité

Signaler des problèmes de sécurité
Si vous avez découvert une vulnérabilité de sécurité sur Ciencia, nous vous encourageons à nous contacter immédiatement. Nous examinerons tous les rapports de vulnérabilité légitimes et ferons tout notre possible pour résoudre rapidement le problème. Avant de signaler, veuillez lire ce document, y compris les principes de base, le programme de primes, les directives de récompense et ce qui ne devrait pas être signalé. 

Principe de base
Si vous vous conformez aux principes ci-dessous lorsque vous signalez un problème de sécurité à Ciencia, nous ne déclencherons pas de procédure judiciaire ni d'enquête de la loi à votre encontre en réponse à votre rapport. Nous vous demandons ce qui suit : 
1.Vous nous accordez un délai raisonnable pour examiner et résoudre un problème que vous signalez avant de rendre publique toute information sur le rapport ou de partager ces informations avec d'autres personnes.
2.Vous n'interagissez pas avec un compte individuel (ce qui inclut la modification ou l'accès aux données du compte) si le propriétaire du compte n'a pas consenti à de telles actions. 
3.Vous faites un effort de bonne foi pour éviter les violations de la vie privée et les perturbations d'autrui, y compris (mais sans s'y limiter) la destruction de données et l'interruption ou la dégradation de nos services. 
4.Vous n'exploitez pas un problème de sécurité découvert pour une raison quelconque. (Cela inclut la démonstration de risques supplémentaires, tels que la tentative de compromission de données sensibles de la société ou la recherche de problèmes supplémentaires.) 
5.Vous ne violez aucune autre loi ou réglementation en vigueur. 

Programme de primes
Nous reconnaissons et récompensons les chercheurs en sécurité qui nous aident à assurer la sécurité des personnes en signalant les vulnérabilités de nos services. Les primes monétaires pour de tels rapports sont entièrement à la discrétion de Ciencia, en fonction du risque, de l'impact et d'autres facteurs. Pour potentiellement prétendre à une prime, vous devez d'abord remplir les conditions suivantes: 
1.Adhérez à notre principe de base (voir ci-dessus). 
2. Signalez un bogue de sécurité: c’est-à-dire que vous identifiez une vulnérabilité dans nos services ou notre infrastructure qui crée un risque pour la sécurité ou la confidentialité. (Notez que Ciencia détermine en fin de compte le risque d'un problème et que de nombreux bogues ne sont pas des problèmes de sécurité.) 
3. Soumettez votre rapport via notre " ciencia62@gmail.com ""Envoyez un courrier électronique et répondez au rapport avec les mises à jour. Ne contactez pas les employés directement ou par d'autres canaux à propos d'un rapport. Si vous avez des questions ou rencontrez des problèmes avec votre commande, veuillez contacter notre centre de support à" ciencia62@gmail.com ». 4. Si vous causez par inadvertance une violation de la vie privée ou la perturbation (telles que l' accès des données de compte, les configurations de service, ou d' autres informations confidentielles) une enquête sur une question, assurez - vous de divulguer dans votre rapport. 5.We recherche et de traitement à tous les rapports valides. en raison du volume des rapports que nous recevons, cependant, nous accordons la priorité des évaluations en fonction du risque et d' autres facteurs, et il peut prendre un certain temps avant de recevoir une réponse. réserve 6.We le droit de publier des rapports. 

Récompenses
Nos récompenses sont basées sur l'impact d'une vulnérabilité. Nous mettrons à jour le programme au fil du temps en fonction des commentaires. Merci de nous faire part de vos commentaires sur toute partie du programme que vous pensez pouvoir améliorer. 
1.Veuillez fournir des rapports détaillés avec des étapes reproductibles. Si le rapport n'est pas suffisamment détaillé pour reproduire le problème, celui-ci ne sera pas éligible à une prime. 
2.Quand des doublons se produisent, nous accordons le premier rapport que nous pouvons complètement reproduire. 
3. Plusieurs vulnérabilités causées par un problème sous-jacent se verront attribuer une prime. 
4.Nous déterminons la prime de récompense en fonction de divers facteurs, notamment l'impact, la facilité d'exploitation et la qualité du rapport. Nous notons spécifiquement les récompenses de primes, celles-ci sont énumérées sous. 
5.Les montants ci-dessous correspondent  au maximum nous allons payer par niveau. Nous visons être juste, tous les montants de récompense sont à notre discrétion. 
Les vulnérabilités de gravité critique (1000 $):  vulnérabilités qui provoquent une escalade de privilège sur la plate - forme de non privilégié à l' administrateur, permet l' exécution de code à distance, vol financier, etc. Exemples: 
· code à distance 
· exécution à distance Shell / Commande 
· verticale by - pass d' authentification 
· Injection SQL qui fuit des données ciblées 
· Obtenez un accès complet aux comptes 
Vulnérabilités élevées (500 USD):  vulnérabilités affectant la sécurité de la plate-forme, y compris les processus qu'elle prend en charge. Exemples: 
· Contournement de l'authentification latérale 
· Divulgation d'informations importantes au sein de l'entreprise 
· XSS stocké pour un autre utilisateur
· Inclusion de fichiers locaux. 
· Manipulation non sécurisée des cookies d'authentification. 
Vulnérabilités moyennes (300 $):  vulnérabilités qui affectent plusieurs utilisateurs et ne nécessitent que peu ou pas d'interaction de la part de l'utilisateur. Exemples: 
· Défauts de conception logique et de processus métier courants 
· Références d'objet directes non sécurisées 
Vulnérabilités faibles (50 $):  problèmes qui affectent des utilisateurs uniques et qui nécessitent une interaction ou des conditions préalables importantes (MITM). Exemples: 
· Redirection ouverte 
· XSS réfléchissant 
· Faible sensibilité Fuites d'informations
 
Message Us