Dezvăluirea coordonată a vulnerabilităților (CVD)

La Kooi, acordăm o importanță deosebită securității sistemelor noastre. În ciuda eforturilor noastre de a identifica vulnerabilitățile, este posibil ca unele puncte slabe să rămână neobservate. Apreciem foarte mult dacă descoperiți vulnerabilități în sistemele noastre și ni le raportați. Feedback-ul dumneavoastră ne permite să acționăm rapid și să îmbunătățim securitatea sistemelor și a utilizatorilor noștri. Colaborarea dumneavoastră în acest proces este extrem de valoroasă pentru noi.

Nu este o invitație la scanare activă

Politica noastră de dezvăluire responsabilă nu reprezintă o invitație de a scana în mod activ rețeaua sau sistemele noastre pentru vulnerabilități. Monitorizăm activ propria rețea corporativă. Prin urmare, scanările efectuate de dumneavoastră vor fi, cel mai probabil, detectate, ceea ce poate duce la o investigație din partea Echipei noastre de Răspuns la Incidente de Securitate Cibernetică (CERT) și, eventual, la costuri inutile.

Consecințe legale

În timpul cercetărilor dumneavoastră, este posibil să desfășurați activități care sunt considerate sancționabile din punct de vedere legal. Cu toate acestea, dacă respectați condițiile prevăzute în această politică, nu vom iniția acțiuni legale împotriva dumneavoastră. Este important de menționat că Parchetul își rezervă dreptul de a decide dacă va iniția urmărirea penală.

Solicitările noastre către dumneavoastră

1. Raportați constatările dumneavoastră cât mai curând posibil la cvd@247kooi.com.
2. Nu exploatați vulnerabilitatea, de exemplu prin:
   • Descărcarea unei cantități mai mari de date decât este necesar pentru a demonstra vulnerabilitatea;
   • Modificarea sau ștergerea datelor.
3. Fiți extrem de precauți în ceea ce privește datele cu caracter personal.
4. Nu divulgați vulnerabilitatea către terți până când aceasta nu a fost remediată.
5. Evitați atacurile care implică securitatea fizică, aplicații ale terților, inginerie socială, atacuri de tip (D)DoS, malware sau spam.
6. Furnizați suficiente informații pentru a reproduce vulnerabilitatea, astfel încât să o putem remedia cât mai rapid. De regulă, adresa IP sau URL-ul sistemului afectat, împreună cu o descriere a vulnerabilității și a acțiunilor efectuate, sunt suficiente. Pentru vulnerabilități complexe pot fi necesare informații suplimentare.

Angajamentele noastre față de dumneavoastră

• Un răspuns în termen de cinci zile lucrătoare, care va include evaluarea raportului dumneavoastră și o dată estimată pentru remediere.
• Raportul dumneavoastră va fi tratat confidențial; nu vom partaja datele dumneavoastră personale fără consimțământul dumneavoastră.
• Vă vom ține la curent cu progresul remedierii vulnerabilității.
• La cerere, vom menționa numele dumneavoastră ca descoperitor al vulnerabilității în comunicările noastre.
• Ca semn de apreciere, putem oferi, la cerere, o mențiune pe site-ul nostru web.
• Ne propunem să rezolvăm toate problemele cât mai rapid posibil și să avem un rol activ în prevenirea incidentelor de securitate.

În afara domeniului de aplicare (Out of Scope)

La Kooi, nu recompensăm vulnerabilitățile minore sau erorile care nu pot fi exploatate. Mai jos se află o listă de vulnerabilități cunoscute și riscuri acceptate care nu intră în domeniul de aplicare al programului nostru de Dezvăluire Coordonată a Vulnerabilităților:

• Erori HTTP și injectare de conținut: de exemplu, coduri HTTP 404 sau alte coduri diferite de 200, precum și spoofing de conținut sau injectare de text pe aceste pagini.
• Fingerprinting și divulgarea versiunilor: informații despre versiunile serviciilor publice.
• Fișiere sau directoare publice: precum robots.txt sau alte fișiere care conțin informații nesensibile.
• Clickjacking: vulnerabilități care pot fi exploatate exclusiv prin clickjacking.
• Cookie-uri nesensibile: lipsa atributelor secure sau HTTP-only pentru cookie-uri care nu conțin informații sensibile.
• Metode HTTP: de exemplu, metode OPTIONS activate.
• Configurație SSL: probleme precum suite de criptare slabe sau nesigure, lipsa SSL Forward Secrecy sau alte probleme de configurare SSL.
• Verificarea e-mailurilor: probleme legate de SPF, DKIM sau DMARC.
• Injectare de header Host: fără un risc demonstrabil.
• Software învechit: rapoarte privind versiuni învechite de software fără dovada unui exploit funcțional.
• Metadate: expunerea de informații nesensibile în metadate.
• Header-e de securitate HTTP: de exemplu, lipsa sau configurarea incorectă a:

Această listă are rolul de a clarifica ce nu intră în domeniul de aplicare al politicii noastre. Dacă aveți nelămuriri, nu ezitați să ne contactați la cvd@247kooi.com.