Mūsų komandai (toliau – NOD Baltic) – klientų ir tiekėjų mums patikėtos informacijos saugumas – itin svarbus. 

Bet niekas nesame apsaugoti nuo klaidų, todėl džiaugsimės Jūsų pagalba užtikrinant aukštą saugumo lygį. 

Jei pastebėjote mūsų valdomų svetainių domenų (nodbaltic.com, shop.eset.lt, kibernodas.lt, kibernodas.com, osomcrm.com, nod.lv, bonuss.nod.lv, esetnod32.lv) ar OSOM CRM produkto pažeidžiamumą, prašome apie tai pranešti mums, vadovaujantis atsakingo spragų atskleidimo programa, pagal žemiau pateiktas instrukcijas.

Norėdami pretenduoti į atlygį, jūsų pranešimas turi būti pripažintas pagrįstu. Nustatant pagrįstumą ir atlygį, vadovaujamės žemiau pateiktomis gairėmis ir instrukcijomis.

Atsakingo atskleidimo politika

Siekiant paskatinti atsakingą saugumo spragų atskleidimą, mes nesiimame teisinių veiksmų prieš asmenis, kurie atskleidžia spragas pagal pateiktas sąlygas ir principus:

• Draudžiama vykdyti bet kokias atakas, galinčias pakenkti mūsų paslaugų ar duomenų patikimumui ar vientisumui.

• Draudžiama naudoti įsilaužimo metodus, kurie galėtų pakenkti mūsų sistemų veikimui, ištrinti duomenis ar sukelti kitokias pasekmes, galinčias sutrikdyti paslaugas ar pakenkti klientams.

• Informacija apie sistemos pažeidžiamumą ir spragas, privalo išlikti konfidenciali net ir po NOD Baltic informavimo.

• Saugumo spragų atskleidimas turi būti atliktas laikantis LR Kibernetinio saugumo įstatymo 25 straipsnio 2 dalyje nuorodytų apribojimų.

Informavimo apie pažeidžiamumą instrukcija

Pateikdami informaciją apie saugumo spragą nurodykite:

• išsamų spragos aprašymą, įskaitant išnaudojimo galimybes ir poveikį/pasėkmes.

• datą ir laiką, kai buvo pradėta ir pabaigta spragų paieška.

• techninę informaciją, reikalingą spragai atkartoti (konkretūs žingsniai, kaip buvo atrasta spraga, angl. proof of concept (PoC)).

• paveiktus URL adresus, programėles ir kita (prorgaminio kodo fragmentas, vaizdo įrašas, etc).

• IP adresus, kurie buvo naudojami atliekant tyrimą.

• pranešėjo kontaktinė informacija (vardas, pavardė, elektroninio pašto adresas).

• pateikite pilną PoC.

Nepridėjus kurio nors iš minėtų elementų, atlygio išmokėjimas gali būti nepaskirtas arba uždelstas.

Praneškite mums apie spragas elektroniniu paštu support@nodbaltic.com .

Jeigu pranešimas atitiks visas programos sąlygas, išmokos dydį NOD Baltic nustatys savo nuožiūra.

Atlygis netaikomas šioms spragoms (Out of scope vulnerabilities):

• Atakos, kurioms reikia fizinės prieigos prie įrenginio;

• Hipotetinės problemos, neturinčios jokio praktinio poveikio;

• Viešai prieinami prisijungimo puslapiai be saugumo spragos išnaudojimo įrodymų;

• Informacinio rimtumo ir mažo rimtumo problemos;

• Aprašomieji klaidų pranešimai (pvz.: nereikšmingos serverio klaidos, HTTP 404 kodai);

• Žinomų viešų arba neskelbtinų failų ar katalogų atskleidimas (pvz.: robots.txt, crossdomain.xml ir panašiai);

• Trūksta tokių saugumo žymų kaip Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options;

• Saugumo nebuvimas: (HTTP Only ir SameSite) žymų nesaugiuose slapukuose;

• Self-XSS ir problemos, kuriomis galima pasinaudoti tik naudojant Self-XS (nebent aptinkamas reflected, stored arba persistant XSS);

• CSRF formose, kurios prieinamos anoniminiams naudotojams (pvz., kontaktų formoje) ir CSRF atsijungimo metu;

• Neįgyvendinama apsauga nuo „brute force“ atakų „Forgot Password“ puslapyje ir paskyros blokavimo politika (nebent atskleidžiami konfidencialūs duomenys);

• Greičio ribojimo problemos (Rate limiting issues);

• Silpna Captcha arba Captcha apėjimas;

• Žinomos pažeidžiamos bibliotekos naudojimas be specifinio saugumo spragos išnaudojimo būdo aprašymo;

• SSL problemos (pvz., silpnas / nesaugus šifras, BEAST, BREACH atakos).