Σφάλματα και τρωτά σημεία
Σφάλματα είναι οποιαδήποτε δυνατότητα ή λειτουργία του ιστότοπου, των εφαρμογών για κινητά ή του API που δεν λειτουργούν όπως προβλέπεται. Το αποτέλεσμα μπορεί να είναι ενοχλητικό, παραπλανητικό, ανακριβές, λείπει ή απλά μη λειτουργικό.
Τα τρωτά σημεία είναι σφάλματα που καταστρέφουν δεδομένα ή εκθέτουν μη δημόσια δεδομένα σχετικά με μεμονωμένα μέλη ή την ίδια την εταιρεία ή που επιτρέπουν σε ένα άτομο που δεν είναι κάτοχος ενός λογαριασμού να ενεργεί ως κάτοχος. Οι ευπάθειες μπορεί να είναι από μικρές έως σοβαρές και σε ορισμένες περιπτώσεις μπορεί να απαιτούν από το Chess.com να ακολουθεί επίσημες νομικές διαδικασίες. Αυτό το έγγραφο βοηθά εσάς, τον αναφέροντα ενός σφάλματος, να ακολουθείτε οδηγίες που μας επιτρέπουν να ανταποκριθούμε σωστά. Θα αναφερθούμε σε εσάς ως "Ρεπόρτερ" για το υπόλοιπο αυτού του εγγράφου.
Δεν πληρώνουμε επιβράβευση σφαλμάτων για σφάλματα διεπαφής χρήστη, γραφικών ή δεδομένων που δεν αποτελούν απειλή για την ασφάλεια. Ωστόσο, η αναφορά αυτών των σφαλμάτων μέσω του συστήματος "Αναφορά σφάλματος" στο μενού Βοήθεια μας επιτρέπει να απονέμουμε τακτικά δωρεάν συνδρομές σε Δημοσιογράφους που μας βοηθούν περισσότερο.
Πληρώνουμε αμοιβή για ευπάθειες που αποκαλύπτονται σύμφωνα με τη διαδικασία που περιγράφεται παρακάτω. Η αμοιβή που καταβάλλεται θα καθοριστεί από τη σοβαρότητα της ευπάθειας. Θα συμφωνήσουμε για τη σοβαρότητα με τον Αναφορά, με βάση το Κοινό Σύστημα Βαθμολογίας Ευπάθειας, γνωστό και ως «CVSS», χρησιμοποιώντας αυτήν την αριθμομηχανή: https://www.first.org/cvss/calculator/3.1
Περιορισμοί
Προσφέροντας ένα Bug Bounty, ζητάμε χρήσιμες συμβουλές. Δεν επιτρέπεται να επιτεθείτε ή να προκαλέσετε ζημιά στον ιστότοπο, στα δεδομένα των χρηστών ή στη φήμη της εταιρείας. Όλες οι προσπάθειες πρέπει να είναι ευγενικές και να μην προκαλούν κανένα κακό. Πρέπει να κάνετε όλες τις εύλογες ενέργειες για να περιορίσετε τα αποτελέσματα της εργασίας σας σε δοκιμαστικούς λογαριασμούς που έχουν δημιουργηθεί ειδικά για αυτόν τον σκοπό και να αποφύγετε πειράματα ορατά στο κοινό ή κατά τη διάρκεια ζωντανών εκδηλώσεων. Οποιαδήποτε απροειδοποίητη διερεύνηση ευπάθειας που δεν διακρίνεται από επίθεση ή/και παραβίαση των όρων αυτού του προγράμματος θα αντιμετωπίζεται ως επίθεση και ενδέχεται να εμπλέξουμε τις υπηρεσίες επιβολής του νόμου για τη διερεύνηση και τη δίωξη. Εάν πιστεύετε ότι η εκμετάλλευσή σας μπορεί να προκαλέσει βλάβη, επικοινωνήστε μαζί μας προτού το επιχειρήσετε και θα συνεργαστούμε μαζί σας για να επινοήσουμε έναν ασφαλή μηχανισμό επίδειξης.
Το Chess.com θα προσπαθήσει να απαντήσει και να συνεργαστεί μαζί σας εντός 5 εργάσιμων ημερών. Αν δεν το κάνετε αυτό δεν ακυρώνει την αξίωσή σας. θα επικοινωνήσουμε μαζί σας το συντομότερο δυνατό.
Αναφορές από αυτοματοποιημένα εργαλεία, εκμεταλλεύσεις σε μη υποστηριζόμενα προγράμματα περιήγησης ή παλιές εφαρμογές για κινητά, επιθέσεις φυσικής πρόσβασης ή κοινωνικής μηχανικής (συμπεριλαμβανομένου phishing ή πλαστοπροσωπίας προσωπικού), άρνηση υπηρεσίας, email, ζητήματα που σχετίζονται με συστήματα εκτός ελέγχου του Chess.com και ζητήματα που γνωρίζουμε ήδη ότι δεν είναι επιλέξιμες. Οι αποκλίσεις από τις τυπικές διαδικασίες και ρυθμίσεις του κλάδου δεν είναι επιλέξιμες για επιβράβευση σφαλμάτων χωρίς απόδειξη ότι το αποτέλεσμα μπορεί να αξιοποιηθεί με συγκεκριμένους επιβλαβείς τρόπους.
Διεκδίκηση Bounty
Για να διεκδικήσετε ένα μπόνους για μια ευπάθεια που ανακαλύψατε, ακολουθήστε αυτά τα βήματα:
- Αναφέρετε τα ευρήματά σας στο chess.com
- Πρέπει πρώτα και αποκλειστικά να μας αναφέρετε το εύρημα σας. Οποιαδήποτε γνωστοποίηση στο κοινό πριν από μια δημοσιευμένη επιδιόρθωση, που αποκαλύπτεται από εσάς ή οποιονδήποτε, ακυρώνει όλες τις αξιώσεις για επιχορήγηση. Οποιαδήποτε προσπάθεια εκμετάλλευσης μιας ευπάθειας που βρέθηκε πέρα από αυτό που είναι απαραίτητο για την επίδειξη και την αναφορά της θα θεωρείται επίθεση και ακυρώνει την αξίωση για επιβράβευση.
- Η αναφορά σας πρέπει να περιλαμβάνει μια απόδειξη ιδέας, κώδικα εργασίας, βήματα προς αναπαραγωγή ή άλλη τεκμηρίωση, ώστε οι τεχνικές ομάδες μας να μπορούν να προσδιορίσουν ποια συστήματα επηρεάζονται και πώς. Ένα βίντεο ή άλλη επίδειξη είναι ανεπαρκής από μόνη της. Η απόδειξη της ιδέας πρέπει να εκτελείται με τον ίδιο τρόπο που ένα θύμα μπορεί να την εκτελέσει ρεαλιστικά. Συγκεκριμένα, η αποστολή κώδικα σε εμάς για λήψη και εκτέλεση τοπικά δεν είναι ρεαλιστική και επομένως πρέπει να φιλοξενήσετε μια τέτοια απόδειξη σε έναν ιστότοπο που ελέγχετε και στη συνέχεια να μας στείλετε τον σύνδεσμο. Εάν η σοβαρότητα της ευπάθειας βασίζεται στον αυτοματισμό, πρέπει να υποβάλετε απόδειξη ότι μπορεί να αυτοματοποιηθεί. Εάν δεν μπορούμε να αντιγράψουμε το σφάλμα με τα βήματά σας, πρέπει να συνεργαστείτε μαζί μας για να καταλάβετε το γιατί και μπορεί να σας ζητηθεί να παράσχετε περαιτέρω αποδείξεις για την ευπάθεια.
- Πρέπει να δώσετε το πραγματικό σας όνομα και τα στοιχεία επικοινωνίας για την πληρωμή. Δεν θα υποβάλουμε πληρωμή σε ανώνυμους ή μη επαληθευμένους λογαριασμούς. Ενδέχεται να ζητήσουμε εύλογη επαλήθευση ταυτότητας. μπορεί να αρκεί μια τεκμηριωμένη και πολύτιμη διαδικτυακή φήμη.
- Μόνο ο πρώτος που θα υποβάλει πλήρη αναφορά για μια δεδομένη ευπάθεια θα λάβει μπόνους. Μεταγενέστερες, χρήσιμες αναφορές που λαμβάνονται πριν από τη διάθεση μιας ενημέρωσης κώδικα μπορεί να λάβουν επιβράβευση κατά την κρίση μας. Οι ξεχωριστές εκμεταλλεύσεις του ίδιου σφάλματος μπορεί να θεωρηθούν ως η ίδια ευπάθεια κατά την κρίση μας. Η ένδειξη "Πρώτη υποβολή" βασίζεται στη χρονική σήμανση παραλαβής του μηνύματος ηλεκτρονικού ταχυδρομείου που ελήφθη στην παραπάνω διεύθυνση, που περιέχει την επίδειξη ή την τεκμηρίωση και στοιχεία επικοινωνίας με πραγματικό πρόσωπο. Οι ελλιπείς υποβολές θεωρούνται υποβληθείσες μόνο όταν ολοκληρωθούν.
- Πρέπει να συνεργαστείτε μαζί μας για να προσδιορίσετε τη σοβαρότητα της ευπάθειας σύμφωνα με το CVSS.
- Η πληρωμή θα πραγματοποιηθεί αφού επιδιορθωθεί και επαληθευτεί η ευπάθεια από τις ομάδες μας, την υποβληθείσα απόδειξη ιδέας και τον Δημοσιογράφο. Σε ορισμένες περιπτώσεις, μπορεί να σας ζητήσουμε να μην αποκαλύψετε καμία πληροφορία σχετικά με αυτήν την ευπάθεια για ένα συμφωνημένο χρονικό διάστημα. Εάν το κάνουμε, τότε θα το ζητήσουμε όταν επιβεβαιώσουμε την υποβολή σας και θα καταβληθεί ένα επιπλέον μπόνους για να αντισταθμιστεί η αδυναμία σας να χρησιμοποιήσετε αυτήν την ανακάλυψη για διαφημιστικά ή εκπαιδευτικά μέσα.