nhiephon
Обнаружил(а) в VIS открытую публичную ссылку на API Google Карты.
Центр по исследованию коррупции и организованной преступности сотрудничает с десятками расследовательских изданий и сотнями журналистов по всему миру. Безопасность наших источников и коллег — наш основной приоритет.
В любом ПО есть ошибки. У нас несколько сайтов и сервисов, это миллионы строк кода. Мы стремимся тестировать и защищать их как можно лучше, однако наши ресурсы ограниченны. Поэтому мы высоко ценим любые ответственно раскрытые данные о потенциальных уязвимостях или угрозах безопасности наших сервисов.
Адрес для связи: security@occrp.org, ключ PGP/GPG: 8AA2 D5B4 A0B5 B3DA E547 238C 5237 8B24 FB18 D161.
Правила
Если вы создаете учетную запись в исследовательских целях, пожалуйста, добавьте к имени пользователя префикс «bugbounty_». Это применимо только к системам, которые позволяют пользователям регистрироваться для оценки.
Если в ходе оценки вы обнаружите конфиденциальную информацию, такую как персональные или учетные данные и т. д., не сохраняйте, не копируйте, не храните, не передавайте и не раскрывайте эту информацию или персональные данные.
Не используйте приемы информационно-психологической атаки, фишинга и физической атаки офисов, пользователей или сотрудников.
Оставайтесь в рамках программы ответственного раскрытия данных об уязвимостях.
Будьте вежливы с нашей командой.
В случае нарушения правил вас могут исключить из программы ответственного раскрытия данных об уязвимостях.
Мы оставляем за собой право изменять правила программы и в любой момент считать любые заявки недействительными. Мы в любое время без предварительного уведомления можем свернуть программу ответственного раскрытия данных об уязвимостях.
О найденных уязвимостях сообщайте по адресу security@occrp.org. Не публикуйте данные о них на GitHub или других публичных ресурсах.
Где искать уязвимости
На сервисах occrp.org и *.occrp.org, включая aleph.occrp.org
Поддерживаемые версии ПО с открытым исходным кодом Aleph в репозитории GitHub
Проблемы, о которых сообщать не нужно:
Атаки с захватом DNS
Кликджекинг без демонстрации вредоносного воздействия
Уязвимости типа «отказ в обслуживании» с использованием перегрузки вычислительной мощности или множественных запросов
Проблемы с конфигурацией сервера ретрансляции почты
Отсутствующие / некорректно настроенные записи DNS SPF
Отсутствие протокола DNSSEC
Отсутствие заголовков Public Key Pinning
Атаки типа Self-XSS
Раскрытие версии ПО
Атаки XSS, требующие устаревших браузеров
Порядок действий
Обнаружив проблему безопасности, сообщите о ней по адресу security@occrp.org.
На обработку сообщения может понадобиться до пяти рабочих дней.
Мы согласуем с вами дату выпуска рекомендаций и исправления ошибок.
Раскрытие данных
Программа допускает ответственное раскрытие данных об уязвимостях, и мы готовы сотрудничать с вами, если вы захотите написать об ошибках в блоге.
Компенсация
Мы некоммерческая организация и, к сожалению, не можем предложить никакой компенсации за раскрытые уязвимости. Однако мы с радостью отдаем должное тем, кто нам помогает.
Мы хотим поблагодарить организации и хакеров, которые ответственно раскрывают уязвимости наших сервисов и помогают нам, нашим коллегам и источникам оставаться в безопасности.
Обнаружил(а) в VIS открытую публичную ссылку на API Google Карты.
Сообщил(а) о незащищенном сервере Ruby, работающем в режиме отладки, что приводило к утечке данных.
Сообщил(а) об уязвимости перед XSS-атаками в параметре POST в рамках расследования People of Interest, организованного Reporting Project.
Сообщил(а) об уязвимости .git/config на сайте OCCRP.
Сообщил(а) о проблеме с рассылкой у стороннего поставщика услуг.
Сообщил(а) о неправильной настройке защиты от кликджекинга в VIS, а также о ряде небольших проблем в других проектах OCCRP.
Сообщил(а) о проблеме с раскрытием данных на сайте OCCRP.
В рамках программы BountyFactory для OCCRP выявил(а) проблему безопасности, связанную с электронной почтой в Investigative Dashboard.
В рамках программы BountyFactory для OCCRP выявил(а) проблему безопасности, связанную с электронной почтой в Investigative Dashboard.
В рамках программы BountyFactory для OCCRP сообщил(а) о проблеме кеширования, связанной с безопасностью в VIS.
специалист по IT-исследованиям из программы BountyFactory.io команды YesWeHack
В рамках программы BountyFactory для OCCRP выявил(а) уязвимость перед XSS-атаками в VIS.
В рамках программы BountyFactory для OCCRP выявил(а) уязвимость LFI в VIS.
специалист по IT-исследованиям из программы BountyFactory.io команды YesWeHack
Сообщил(а) о неправильной конфигурации SPF.
Сообщил(а) о неправильной конфигурации и уязвимости перед кликджекингом.
В рамках программы BountyFactory для OCCRP выявил(а) проблему безопасности, связанную с аутентификацией в Investigative Dashboard.
В рамках программы BountyFactory для OCCRP выявил(а) проблему с протоколом TLS в Investigative Dashboard.
В рамках программы BountyFactory для OCCRP выявил(а) проблему безопасности, связанную с аутентификацией в Investigative Dashboard.
В рамках программы BountyFactory для OCCRP выявил(а) tabnabbing-атаку (фишинг через подмену содержимого вкладки) в Investigative Dashboard.
Сообщил(а) о ряде проблем с настройкой безопасного входа в систему OCCRP, которые в определенных обстоятельствах могли привести к ограниченному несанкционированному раскрытию информации.
В рамках программы BountyFactory для OCCRP сообщил(а) о ряде проблем с конфигурацией в Investigative Dashboard, включая утечку конфиденциальной информации.
специалист по IT-исследованиям из программы BountyFactory.io команды YesWeHack
В рамках программы BountyFactory для OCCRP сообщил(а) о ряде проблем с конфигурацией в Investigative Dashboard, включая утечку конфиденциальной информации.
специалист по IT-исследованиям из программы BountyFactory.io команды YesWeHack
В рамках программыBountyFactory для OCCRP сообщил(а) о ряде проблем с конфигурацией в Investigative Dashboard.
специалист по IT-исследованиям из программы BountyFactory.io команды YesWeHack
В рамках программы BountyFactory для OCCRP выявил(а) ряд проблем безопасности в VIS, включая уязвимости перед XSS-, CSRF- и RCE-атаками.
YesWeHack
В рамках программы BountyFactory для OCCRP выявил(а) ряд проблем безопасности в VIS, включая уязвимости перед XSS-атаками.
Поддержка читателей помогает OCCRP разоблачать организованную преступность и коррупцию по всему миру.