Autovig salută cercetarea în domeniul securității efectuată cu bună-credință asupra proprietăților sale publice. Prezenta politică este politica de divulgare coordonată a vulnerabilităților (CVD) a operatorului în sensul ISO/IEC 29147:2018, al Legii belgiene din 28 noiembrie 2022 (condițiile refugiului CVD și rolul Centrului pentru Securitate Cibernetică Belgia — CCB) și al Good Practice Guide on Vulnerability Disclosure al ENISA. Se aplică site-ului autovig.eu („Site-ul").
1. Canal de raportare
Trimiteți un singur raport structurat la:
Subiect: menționați raport de securitate
Cheie PGP: TODO(pgp-key) — odată publicată, cheia va fi disponibilă pe această pagină.
Dacă nu ne puteți contacta sau dacă nu primiți confirmare în termenul prevăzut la secțiunea 6, puteți redirecționa raportul către CSIRT-ul național belgian:
Puteți scrie în engleză, franceză, germană, neerlandeză, română sau poloneză.
2. Domeniu de aplicare
În domeniu:
autovig.eu și orice subdomeniu care servește conținut de producție;
rezultatul build-ului static: HTML, CSS, bundle-uri JavaScript și datele structurate pe care le emitem;
bannerul de consimțământ pentru cookie-uri și stocarea consimțământului pe partea clientului.
3. În afara domeniului
Site-urile operatorilor terți (ASFINAG, DARS, NÚSZ, BGTOLL, CNAIR etc.) — raportați-le direct operatorului.
Problemele care necesită o poziție privilegiată (browser deja compromis, extensie de browser malițioasă, acces fizic la dispozitivul utilizatorului).
Rezultatele scanerelor automate fără un impact de securitate clar și demonstrabil.
Raportările privind bune practici lipsă (întărirea anteturilor HTTP, configurația TLS, identificarea versiunilor software) fără un risc exploatabil demonstrat.
Testele de denial-of-service, ingineria socială împotriva personalului sau a contractorilor, atacurile asupra spațiilor fizice sau asupra furnizorilor terți (găzduire, DNS, e-mail).
4. Conținutul raportului
O scurtă descriere a problemei și URL-ul sau componenta afectată.
Pașii de reproducere, inclusiv payload-ul cererii, dacă este relevant.
Impactul estimat și un scenariu realist de exploatare.
Data și ora testării și browserul, instrumentul sau scriptul utilizat.
Numele sau pseudonimul sub care doriți să fiți creditat public, dacă este cazul (secțiunea 8).
5. Ce vă cerem
Nu accesați, nu modificați și nu descărcați date care nu vă aparțin. Dacă o configurare greșită expune datele unui terț, opriți-vă și anunțați-ne — nu descărcați mai mult decât minimul necesar pentru a dovedi problema.
Nu efectuați teste de denial-of-service, inginerie socială sau atacuri asupra spațiilor fizice ori asupra furnizorilor terți.
Acordați-ne o fereastră rezonabilă pentru a corecta înainte de orice divulgare publică (secțiunea 7).
Acționați cu bună-credință. Raportările transmise cu intenția sinceră de a îmbunătăți securitatea sunt binevenite; amenințările, șantajul sau cererile de plată pentru a nu divulga nu sunt.
6. Calendar coordonat — angajamentele noastre
Confirmare de primire în termen de 5 zile lucrătoare de la primire.
Triere (confirmarea încadrării în domeniu, severitate inițială) în termen de 10 zile lucrătoare.
Actualizări de stare asupra constatărilor materiale cel puțin la fiecare 15 zile calendaristice până la închidere.
Remediere într-un termen proporțional cu severitatea: vulnerabilitățile critice sau exploatate activ sunt prioritare; corectările standard vizează 90 de zile calendaristice de la triere; orice termen suplimentar se convine cu dumneavoastră și se motivează.
Creditare publică la livrarea corectării, dacă doriți (secțiunea 8).
7. Divulgare publică coordonată
Urmăm un model de divulgare coordonată:
raportul și corectarea rămân confidențiale până la livrarea remedierii sau până la expirarea termenului implicit de 90 de zile calendaristice de la triere;
operatorul și cercetătorul convin asupra formulării, atribuirii și calendarului oricărei publicații;
atunci când o constatare privește un terț (operator, persoană împuternicită, bibliotecă), termenul poate fi prelungit prin acord pentru a permite terțului să-și coordoneze propriul răspuns;
în caz de dezacord asupra calendarului, dosarul poate fi adus la cunoștința CCB (secțiunea 9).
8. Recunoaștere — fără program bug bounty în prezent
Autovig nu operează în prezent un program bug bounty plătit. Recunoașterea se face prin creditare publică pe această pagină (sub numele sau pseudonimul preferat) și prin corespondență directă. Nu se face nicio promisiune de recompensă bănească; dacă un program va fi introdus ulterior, condițiile vor fi publicate aici înainte ca o raportare să se poată baza pe ele.
9. Refugiu și cadrul legal belgian
Vom renunța la orice acțiune — și vom trata conduita dumneavoastră ca autorizată în raport cu incriminările belgiene privind accesul neautorizat la sistemele informatice (în special articolele 550bis și 550ter din Code pénal / Strafwetboek) — cu condiția să:
acționați cu bună-credință, cu intenția sinceră de a îmbunătăți securitatea;
rămâneți în domeniul de la secțiunea 2 și respectați lista „în afara domeniului" de la secțiunea 3;
accesați doar minimul strict de date necesar pentru a dovedi constatarea și să nu exfiltrați, păstrați, publicați sau partajați date ale unor terți;
nu degradați disponibilitatea, integritatea sau confidențialitatea peste minimul strict necesar demonstrării problemei;
ne notificați fără întârzieri nejustificate prin canalul de la secțiunea 1;
respectați calendarul de divulgare coordonată de la secțiunea 7.
Această autorizare este acordată de Autovig în calitate de operator al activelor vizate. Aceasta neutralizează elementul de acces neautorizat al articolelor 550bis/550ter pentru actele aflate în domeniu. Aceasta nu obligă autoritățile publice sau terții ale căror sisteme ar putea fi afectate incident. Cercetătorul care notifică în plus CCB și respectă condițiile Legii belgiene din 28 noiembrie 2022 (avertizori și divulgare coordonată a vulnerabilităților) beneficiază, în plus, de cadrul legal CVD gestionat de CCB, independent de prezenta autorizare contractuală. În caz de dubiu, politica CVD a CCB (https://ccb.belgium.be/en/cvdp) constituie referința.
10. Prelucrarea datelor dumneavoastră cu caracter personal
Datele pe care le transmiteți la o raportare (adresa de e-mail, conținutul raportului, eventual conținut criptat PGP) sunt prelucrate de Autovig în calitate de operator, în temeiul interesului legitim (articolul 6 alineatul (1) litera (f) RGPD), în scopul trierii, corectării și divulgării coordonate. Raportările sunt păstrate până la 5 ani de la închidere, conform termenului recomandat de politica CVD a CCB. Drepturile dumneavoastră, calea de reclamație către APD/GBA belgiană și celelalte informații RGPD figurează în Politica de confidențialitate.
Surse