Раскрытие уязвимостей

Центр по исследованию коррупции и организованной преступности сотрудничает с десятками расследовательских изданий и сотнями журналистов по всему миру. Безопасность наших источников и коллег — наш основной приоритет.

В любом ПО есть ошибки. У нас несколько сайтов и сервисов, это миллионы строк кода. Мы стремимся тестировать и защищать их как можно лучше, однако наши ресурсы ограниченны. Поэтому мы высоко ценим любые ответственно раскрытые данные о потенциальных уязвимостях или угрозах безопасности наших сервисов.

Политика ответственного раскрытия данных об уязвимостях

Адрес для связи: security@occrp.org, ключ PGP/GPG: 8AA2 D5B4 A0B5 B3DA E547 238C 5237 8B24 FB18 D161.

Правила

  • Если вы создаете учетную запись в исследовательских целях, пожалуйста, добавьте к имени пользователя префикс «bugbounty_». Это применимо только к системам, которые позволяют пользователям регистрироваться для оценки.

  • Если в ходе оценки вы обнаружите конфиденциальную информацию, такую ​​как персональные или учетные данные и т. д., не сохраняйте, не копируйте, не храните, не передавайте и не раскрывайте эту информацию или персональные данные.

  • Не используйте приемы информационно-психологической атаки, фишинга и физической атаки офисов, пользователей или сотрудников.

  • Оставайтесь в рамках программы ответственного раскрытия данных об уязвимостях.

  • Будьте вежливы с нашей командой.

  • В случае нарушения правил вас могут исключить из программы ответственного раскрытия данных об уязвимостях.

  • Мы оставляем за собой право изменять правила программы и в любой момент считать любые заявки недействительными. Мы в любое время без предварительного уведомления можем свернуть программу ответственного раскрытия данных об уязвимостях.

  • О найденных уязвимостях сообщайте по адресу security@occrp.org. Не публикуйте данные о них на GitHub или других публичных ресурсах.

Где искать уязвимости

Проблемы, о которых сообщать не нужно:

  • Атаки с захватом DNS

  • Кликджекинг без демонстрации вредоносного воздействия

  • Уязвимости типа «отказ в обслуживании» с использованием перегрузки вычислительной мощности или множественных запросов

  • Проблемы с конфигурацией сервера ретрансляции почты

  • Отсутствующие / некорректно настроенные записи DNS SPF

  • Отсутствие протокола DNSSEC

  • Отсутствие заголовков Public Key Pinning

  • Атаки типа Self-XSS

  • Раскрытие версии ПО

  • Атаки XSS, требующие устаревших браузеров

Порядок действий

  • Обнаружив проблему безопасности, сообщите о ней по адресу security@occrp.org.

  • На обработку сообщения может понадобиться до пяти рабочих дней.

  • Мы согласуем с вами дату выпуска рекомендаций и исправления ошибок.

Раскрытие данных

Программа допускает ответственное раскрытие данных об уязвимостях, и мы готовы сотрудничать с вами, если вы захотите написать об ошибках в блоге.

Компенсация

Мы некоммерческая организация и, к сожалению, не можем предложить никакой компенсации за раскрытые уязвимости. Однако мы с радостью отдаем должное тем, кто нам помогает.

Галерея славы

Мы хотим поблагодарить организации и хакеров, которые ответственно раскрывают уязвимости наших сервисов и помогают нам, нашим коллегам и источникам оставаться в безопасности.

nhiephon

Обнаружил(а) в VIS открытую публичную ссылку на API Google Карты.

Aditya Soni

Сообщил(а) о незащищенном сервере Ruby, работающем в режиме отладки, что приводило к утечке данных.

Kasper Karlsson

Сообщил(а) об уязвимости перед XSS-атаками в параметре POST в рамках расследования People of Interest, организованного Reporting Project.

Anon Tuttu Venus

Сообщил(а) об уязвимости .git/config на сайте OCCRP.

Shivam Pandey

Сообщил(а) о проблеме с рассылкой у стороннего поставщика услуг.

Ratnadip Gajbhiye

Сообщил(а) о неправильной настройке защиты от кликджекинга в VIS, а также о ряде небольших проблем в других проектах OCCRP.

B.Dhiyaneshwaran

Сообщил(а) о проблеме с раскрытием данных на сайте OCCRP.

Savan

Сообщил(а) о неправильной конфигурации и уязвимости перед кликджекингом.

Sajibe Kanti

Сообщил(а) о ряде проблем с настройкой безопасного входа в систему OCCRP, которые в определенных обстоятельствах могли привести к ограниченному несанкционированному раскрытию информации.

thomas__

В рамках программы BountyFactory для OCCRP выявил(а) ряд проблем безопасности в VIS, включая уязвимости перед XSS-атаками.