Sérülékenység Közzétételi Irányelv
Vulnerability Disclosure Policy (VDP)
Bevezetés
A Makay Kiberbiztonsági Kft.-nél a kommunikációs és információs rendszereink biztonsága a magyar és az EU-s előírásokkal összhangban kiemelt prioritást élvez. A sebezhetőségeket azonban a legnagyobb erőfeszítések ellenére sem lehet teljesen kiküszöbölni. Amennyiben a sebezhetőségeket azonosítják és kihasználják, az veszélyezteti a Makay Kiberbiztonsági Kft. rendszereinek és az azokban feldolgozott adatok bizalmas jellegét, integritását és rendelkezésre állását.
Ez a sebezhetőségek közzétételére vonatkozó politika leírja, hogy mely rendszerek és tesztek típusai engedélyezettek, és hogyan kell a sebezhetőségi jelentéseket elküldeni. Arra biztatjuk Önt, hogy e szabályzatot követve lépjen kapcsolatba velünk, és jelentse a rendszereinkben felmerülő potenciális biztonsági problémákat.
Engedélyezés
Ha biztonsági kutatása során jóhiszeműen igyekszik betartani ezt az irányelvet, a biztonsági vizsgálatát engedélyezettnek tekintjük, együttműködünk Önnel a probléma megértése és gyors megoldása érdekében, a Makay Kiberbiztonsági Kft. pedig nem fog jogi lépéseket javasolni vagy kezdeményezni a vizsgálatával kapcsolatban. Amennyiben egy harmadik fél jogi lépéseket kezdeményez Ön ellen a jelen irányelvvel összhangban végzett tevékenységek miatt, ezt az engedélyt közölni fogjuk.
Irányelvek
Jelen irányelv értelmében a biztonsági vizsgálat során Ön elfogadja az alábbi követelményeket:
- A lehető leghamarabb értesíti a Makay Kiberbiztonsági Kft.-t, miután valós vagy potenciális biztonsági problémát fedezett fel.
- Mindent megtesz annak érdekében, hogy elkerülje az adatvédelem megsértését, a felhasználói élmény romlását, a termelési rendszerek megzavarását, valamint az adatok megsemmisítését vagy manipulálását.
- Csak olyan mértékben használj exploitokat, amennyire szükséges a sebezhetőség meglétének valószínűsíthetőségéhez.
- Nem hozza nyilvánosságra a sérülékenységet a publikum előtt a Makay Kiberbiztonsági Kft. közvetlen vagy közvetett megnevezésével és azonosító jellegű információkkal.
- Nem nyújt be nagy mennyiségű, gyenge minőségű jelentést.
Vizsgálati módszerek
A következő vizsgálati módszerek NEM engedélyezettek az irányelv hatálya alá tartozó rendszerek esetében:
- rosszindulatú szoftverek (vírus, zsarolóvírus, féreg, trójai faló stb.) elhelyezése a rendszerekben
- a rendszerek feletti irányítás megszerzése
- adatok másolása, módosítása és törlése a rendszerekből
- konfigurációs változtatások a rendszerben
- ismételt hozzáférés a rendszerhez, vagy a hozzáférés megosztása a nyilvánossággal más felekkel és szolgáltatásokkal
- bármely megszerzett hozzáférés felhasználása más rendszerekhez való hozzáférés megkísérlésére
- a felhasználók hozzáférési jogainak megváltoztatása
- automatizált keresőeszközök használata
- „brute force” támadás alkalmazása a rendszerekhez való hozzáférés megszerzéséhez
- hálózati szolgáltatásmegtagadási tesztek (DoS vagy DDoS)
- fizikai tesztelés, social engineering vagy bármilyen más, nem technikai jellegű sebezhetőségi tesztelés
Terjedelem
Ez a szabályzat a következő rendszerekre és szolgáltatásokra vonatkozik:
- *makay.net
- *hackr.hu
- *kyber.hu
- *kript.hu
A fentiekben kifejezetten fel nem sorolt szolgáltatások nem tartoznak a hatókörbe. Ha nem biztos abban, hogy egy rendszer a hatókörbe tartozik-e vagy sem, a kutatás megkezdése előtt lépjen kapcsolatba a Makay Kiberbiztonsági Kft.-vel!
Sebezhetőség bejelentése
Az ezen irányelv alapján benyújtott információk kizárólag védelmi célokra használhatók fel. Kifejezett engedély nélkül nem osztjuk meg az Ön nevét vagy elérhetőségi adatait.
A jelentéseket a info@makay.net címen fogadjuk. A jelentéseket névtelenül is be lehet nyújtani.
A bejelentés tartalmi követelményei
- Írja le a sebezhetőség felfedezésének helyét, valamint a kihasználás módját és lehetséges hatását.
- Adjon részletes leírást a sebezhetőség reprodukálásához szükséges lépésekről.
- Csatoljon képernyőképeket a folyamatról és az eredményről.
- Lehetőség szerint magyar nyelven.
Mire számíthat tőlünk
3 munkanapon belül visszaigazoljuk a bejelentés befogadását. Lehetőségeinkhez mérten megerősítjük a sebezhetőség meglétét, és tájékoztatást adunk a helyreállítási folyamatról.
Kérdések
A jelen irányelvvel kapcsolatos kérdéseket a info@makay.net címre küldheti el.
Sérülékenység Közzétételi Irányelv – Vulnerability Disclosure Policy (VDP) sablon letöltése
https://makay.net/downloads/vdp_template_hu.docx
Hírek, események, termékek és riasztások
Hírek, események, termékek és riasztások
Iratkozzon fel hírlevelünkre és ne maradjon le a legfontosabb kiberbiztonsági hírekről, eseményekről, termékekről és riasztásokról!