Политика ответственного раскрытия информации

Crate.tf («мы», «нас», «наш») ценит безопасность наших пользователей и нашего Сервиса. Если вы обнаружите уязвимость безопасности, мы ценим ответственное и добросовестное сообщение, чтобы мы могли ее исправить.

Эта политика описывает, как сообщать об уязвимостях и что мы просим вас делать (и не делать) во время тестирования.

1) Область применения

Эта политика применяется к уязвимостям безопасности, затрагивающим:

• Crate.tf (веб-сайт, APIs/конечные точки и серверные службы)
• Crate.tf инфраструктура, непосредственно поддерживающая Сервис
• Crate.tf оркестровка торговли (включая логику планирования транзакций/резервирования)
• Интеграция ботов, принадлежащих Crate.tf, как это представлено через наш Сервис (а не сам Steam)

Вне области применения (примеры):

• Уязвимости в системах Steam/Valve или клиенте Steam
• Проблемы в сторонних сервисах, которые мы не контролируем (сообщите о них поставщику)
• Атаки социальной инженерии против пользователей или сотрудников
• Физические атаки, атаки на центры обработки данных или компрометация устройства
• «Уязвимости», требующие наличия действительных учетных данных, которыми вы не владеете.
• Спам, самостоятельный XSS или чисто теоретические проблемы без очевидного влияния на безопасность.

Если вы не уверены, попадает ли что-то в область видимости, все равно сообщите об этом — мы вам подскажем.

2) Как сообщить об уязвимости

Пожалуйста, сообщайте о проблемах по адресу:

• Электронная почта: support@crate.tf
• Тема письма: Отчет о безопасности: краткое описание

Если электронная почта невозможна, вы можете связаться с нами через наш официальный канал поддержки Discord, но для конфиденциальной информации предпочтительнее использовать электронную почту.

Включите как можно больше:

• Четкое описание проблемы и почему это важно
• Шаги по воспроизведению (полезно подтверждение концепции)
• Затронутые URL-адреса/конечные точки, параметры и любые соответствующие образцы запросов/ответов.
• Оценка воздействия (что может сделать злоумышленник?)
• Скриншоты или журналы, если это необходимо
• Предпочтительная контактная информация (и хотите ли вы получить общественный кредит)

3) Безопасная гавань для добросовестных исследований в области безопасности.

Мы не будем возбуждать против вас судебные иски за добросовестное и ответственное исследование безопасности, соответствующее этой политике.

Чтобы претендовать на безопасную гавань, вы должны:

• Приложите добросовестные усилия, чтобы избежать нарушений конфиденциальности, уничтожения данных и сбоев в обслуживании.
• Прекратите тестирование и незамедлительно сообщите об уязвимости, как только подтвердите наличие уязвимости.
• Не использовать уязвимость для получения несправедливого преимущества (включая получение предметов) или нанесения вреда другим.
• Не раскрывать публично подробности, пока у нас не будет разумной возможности исправить ситуацию.

Эта безопасная гавань не распространяется на:

• Любая деятельность, направленная на вымогательство, угрозы или шантаж.
• Попытки получить доступ или изменить данные, которые вам не принадлежат.
• Любое тестирование, которое ухудшает качество, нарушает работу или отказывает в обслуживании пользователей.
• Любое тестирование, нацеленное на сторонние системы (Steam/Valve) или нарушающее их правила.

4) Чего мы просим вас НЕ делать

В целях защиты пользователей и Сервиса не следует:

• Доступ, загрузка или раскрытие личных данных или данных других пользователей
• Попытка перехватить или изменить транзакции других пользователей.
• Используйте уязвимости, чтобы получить предметы TF2, ключи или любое преимущество.
• Выполняйте автоматическое сканирование, перебор данных, подстановку учетных данных или тестирование на отказ в обслуживании.
• Используйте ботов/скрипты для проверки конечных точек, опроса статуса или конечных точек цен/каталога.
• Публично раскрывать уязвимости, прежде чем мы их признаем и исправим.
• Сотрудники или пользователи социальных инженеров или пытаются получить привилегированный доступ.

5) Рекомендации по тестированию (что разрешено)

Обычно мы добросовестно считаем приемлемым следующее:

• Тестирование на вашей учетной записи и ваших собственных данных
• Минимальные демонстрации концепции, демонстрирующие воздействие, не причиняя вреда другим.
• Сообщайте о проблемах с достаточной подробностью, чтобы мы могли их воспроизвести и исправить.

Если вам нужен тестовый аккаунт или вы хотите скоординировать контролируемое тестирование, сначала свяжитесь с нами.

6) Наш процесс и ответ

Мы стремимся:

• Подтвердите свое сообщение в разумные сроки
• Расследование и работа над исправлением
• Следите за обновлениями статуса, когда это возможно.
• Укажите вашу репутацию публично, если вы попросите и если это уместно (необязательно).

Поскольку Crate.tf — небольшой проект, сроки могут различаться. Уязвимости с высоким уровнем воздействия будут иметь приоритет.

7) Конфиденциальность и публичное раскрытие информации

Пожалуйста, сохраняйте конфиденциальность информации об уязвимостях до тех пор, пока:

• Мы подтверждаем, что проблема устранена, или
• Мы говорим вам, что можно раскрывать информацию, или
• Прошло разумное время, а мы не ответили (свяжитесь с нами еще раз перед публикацией)

Если вы планируете публиковать информацию, мы предпочитаем скоординированное раскрытие информации с кратким описанием, сосредоточенным на извлеченных уроках и исправлениях, а не на деталях использования.

8) Нет вознаграждения за ошибки

Crate.tf в настоящее время не реализует платную программу вознаграждений за обнаружение ошибок. Однако мы можем предложить неденежную благодарность (общественный кредит) по нашему усмотрению.

9) Контакт

support@crate.tf (предпочтительно)

Discord канал поддержки (вторичный)