INMAGINE Security Disclosure Policy

Wir nehmen die Sicherheit unserer Systeme ernst, und wir schätzen die Sicherheit unserer Benutzer, Mitwirkenden, Klienten und Kunden. Die Offenlegung von Sicherheitslücken hilft uns, die Sicherheit und den Schutz der Privatsphäre unserer Benutzer zu gewährleisten.

Richtlinien

Wenn Sie unsere Website besuchen und Sicherheitslücken bemerken, verlangen wir, dass alle Forscher:
  • Alle Anstrengungen unternehmen, um Verletzungen der Privatsphäre, Beeinträchtigungen der Benutzerfreundlichkeit, Störungen der Produktionssysteme und die Zerstörung von Daten während der Sicherheitstests zu vermeiden;
  • Die angegebenen Kommunikationskanäle nutzen, um uns Informationen über Sicherheitslücken zu melden; und
  • Informationen über entdeckte Schwachstellen vertraulich zwischen Ihnen und INMAGINE zu behandeln, bis wir [90] Tage Zeit haben, das Problem zu lösen.

Vertraulichkeit

Alle Informationen, die Sie über INMAGINE oder andere INMAGINE-Nutzer durch die Sicherheitslücken gefunden oder gesammelt haben, sind vertraulich zu behandeln und nur in Verbindung mit uns zu verwenden. Der Zugriff auf private Informationen anderer Nutzer, das Ausführen von Aktionen, die INMAGINE-Nutzer negativ beeinflussen können, sind strengstens untersagt. Es ist Ihnen nicht gestattet, solche vertraulichen Informationen, einschließlich, aber nicht beschränkt auf Informationen bezüglich Ihrer Einsendung und Informationen, die Sie bei der Recherche auf den INMAGINE-Seiten erhalten, ohne die vorherige schriftliche Zustimmung von INMAGINE zu verwenden, offenzulegen oder zu verbreiten.

Im Interesse der Sicherheit unserer Benutzer und Mitarbeiter möchten wir Sie bitten, Folgendes zu unterlassen:
  • Spamming.
  • Social Engineering (einschließlich Phishing) von INMAGINE Mitarbeitern oder Auftragnehmern oder Kunden.
  • Jegliche physischen Versuche gegen INMAGINE-Eigentum oder Rechenzentren.
  • Kryptomining.
  • Zugriff auf oder Versuch des Zugriffs auf Daten oder Informationen, die Ihnen nicht gehören.
  • Die Zerstörung oder Beschädigung von Daten oder Informationen, die Ihnen nicht gehören, oder der Versuch, diese zu zerstören oder zu beschädigen.
  • Das Verursachen oder der Versuch des Verursachens eines Denial-of-Service-Zustands (DoS/DDoS).

Wir verpflichten uns, wenn Sie diese Richtlinien befolgen und uns unverzüglich darüber informieren:
  • Wir werden keine rechtlichen Schritte gegen Sicherheitsforscher einleiten, die versuchen, Schwachstellen in unseren Systemen zu finden und sich an diese Richtlinie halten.

Wie melde ich eine Sicherheitsschwachstelle?

Wir glauben, dass jede Technologie Fehler enthält und dass die Öffentlichkeit eine entscheidende Rolle bei der Identifizierung dieser Fehler spielt. Wenn Sie glauben, eine Sicherheitslücke in einem unserer Produkte oder einer unserer Plattformen gefunden zu haben, senden Sie uns diese bitte umgehend per E-Mail an patrick@123rf.com. Bitte fügen Sie Ihrer Meldung die folgenden Details bei:
  • Eine Beschreibung des Ortes und der möglichen Auswirkungen der Sicherheitslücke;
  • Eine detaillierte Beschreibung der Schritte, die erforderlich sind, um die Schwachstelle zu reproduzieren (POC-Skripte, Screenshots und komprimierte Bildschirmabzüge sind für uns hilfreich); und
  • Ihr Name/Handle

Berechtigung

Wir akzeptieren Berichte mit einem Schweregrad von mindestens 6 nach CVSS 3.1. Der endgültige Schweregrad kann angepasst werden, um die Auswirkungen der gemeldeten Schwachstelle auf unsere Domänen zu berücksichtigen.

Mehr über die CVSS 3.1-Bewertung: https://www.first.org/cvss/calculator/3.1


In scope

*.123rf.com

*.pixlr.com

*.designs.ai


Außerhalb des Bereichs

Wenn Sie Schwachstellen melden, müssen Sie das Angriffsszenario / die Ausnutzbarkeit und die Sicherheitsauswirkungen des Fehlers berücksichtigen. Die folgenden Probleme werden als außerhalb des Anwendungsbereichs dieses Programms betrachtet, und wir akzeptieren keine der folgenden Arten von Angriffen:
  • Denial-of-Service-Angriffe
  • Spam, Social Engineering oder E-Mail-Phishing-Techniken (z. B. Phishing, Vishing, Smishing)
  • E-Mail-Spoofing
  • Jede Sicherheitslücke auf der Client-Seite (z. B. Browser, Plugins)
  • Offenlegung von Software-Versionen
  • Reflektierter Dateidownload
  • Jegliche Probleme beim physischen Zugriff
  • Öffentlich zugängliche Seiten
  • Jede Schwachstelle oder Offenlegung von Informationen, die nicht zu einer direkten Sicherheitslücke führt
  • E-Mail- oder Kontoaufzählung
  • CSV-Befehlsausführung und CSP-Schwachstellen
  • Jegliche Schwachstellen in Apps oder Websites von Drittanbietern fallen generell nicht in den Anwendungsbereich unseres Programms.

Änderungen der Bedingungen

Inmagine behält sich das Recht vor, dieses Bug Bounty-Programm und seine Richtlinien jederzeit und ohne vorherige Ankündigung zu ändern oder zu beenden.

Dementsprechend kann Inmagine diese Bedingungen und/oder seine Richtlinien jederzeit durch Veröffentlichung einer überarbeiteten Version auf der Website von Inmagine ändern. Sie akzeptieren die geänderten Bedingungen, wenn Sie nach Änderungen der Bedingungen weiterhin am Bug Bounty-Programm teilnehmen.