قانوني
تقرير عن ثغرة أمنية
كيفية الإبلاغ عن مشكلة في الثغرة الأمنية
إذا كانت لديك مشكلة تتعلق بثغرة أمنية في منتج أو تطبيق من Nothing، يرجى إرسال بريد إلكتروني إلى g_feedback@nothing.tech.استخدم المفتاح العمومي PGP
لتشفير البريد الإلكتروني بمعلومات حساسة وللتحقق من أن الاتصالات الأمنية المرسلة من Nothing حقيقية.تاريخ الفعالية: 4 يوليو 2022تاريخ الانتهاء: غير متاحمعرف المفتاح: 0xA785B8AAنوع المفتاح: RSAحجم المفتاح: 4096/4096بصمة الإصبع: 96A4 6E60 11B0 32D9 8D54 B384 F6EF CEC6 A785 B8AAمعرف المستخدم: g_feedback@nothing.techفي بريدك الإلكتروني، يرجى تقديم المعلومات التالية:
- وصف تفصيلي للمشكلة
- المنتجات وإصدارات البرمجيات
- معلومات حول الاستغلال المعروف
- فئة الثغرة
- عنوان الثغرة
- اسم النطاق
- مستوى الثغرة
- وصف الثغرة
- تفاصيل إضافية
- المرفقات (إذا وُجدت)
- خطة الإصلاح
يرجى تفصيل عملية اكتشاف المشكلة وتأثيرها. أيضًا، قم بتضمين أي مستندات مصدر برمجيات ذات صلة، لقطات شاشة أو فيديوهات. إذا كنت قد استخدمت أدوات تصحيح الأخطاء خلال عملية استغلال الثغرة، يرجى تحميلها كمرفقات. إذا كانت الأدوات كبيرة جدًا، يرجى تقديم رابط تنزيل. بالإضافة إلى ذلك، يرجى تقديم إثبات المفهوم أو الاستغلال للثغرة.ملاحظة: قد يؤدي عدم تلبية هذه المتطلبات إلى عدم اجتياز تقريرك لعملية المراجعة.بمجرد استلام تقرير الثغرة الخاصة بك، سنكمل عملية التحقق في غضون 30 يوم عمل ونرد على بريدك الإلكتروني بنتائج التحقق. يرجى متابعة بريدك الإلكتروني للحصول على التحديثات.g_feedback@nothing.tech يجمع فقط الثغرات الأمنية المتعلقة بمنتجات Nothing. إذا كانت لديك مشكلات أخرى تتعلق بالمنتج، يمكنك الوصول إلينا عبر صفحة contact us. مكافآت الثغراتمكافآت الثغرات تحفز الأفراد على الإبلاغ عن الثغرات الأمنية. تُنَظم المكافآت بناءً على مستويات الثغرة، حيث تكسب القضايا الأكثر خطورة مكافآت أعلى. يوضح الجدول أدناه مستويات الثغرة والمكافآت.- **حرجة**: $1000 - $2000 - الإفصاح عن معلومات حساسة، الوصول غير المصرح به إلى أنظمة أساسية أو كميات كبيرة من المعلومات الحساسة، الانتهاك لعمليات حساسة. - **مرتفعة**: $500 - $1000 - الثغرات التي تحصل مباشرة على الأذونات، تؤدي إلى تسرب المعلومات الحساسة وسرقة معلومات المستخدمين الداخليين. - **متوسطة**: $100 - $500 - الثغرات التي تتطلب تفاعلًا للحصول على الأذونات، تؤدي إلى تسرب معلومات خطير وسرقة معلومات المستخدمين الداخليين. - **منخفضة**: $20 - $100 - في بيئة محددة فقط يمكن للأذونات التي تؤدي إلى تسرب المعلومات وسرقة معلومات المستخدمين الداخليين.إذا كان القسيمة غير متاحة في منطقتك، سنقوم بتحويلها إلى مكافآت أخرى على أساس معدل نسبي.تطبق الشروط والأحكام على جميع القسائم. تحديد مبالغ وأنواع القسائم هو بناءً على تقدير Nothing وحدها.ملاحظة:لن يتم مكافأة الحالات التالية:
- الثغرات غير المتعلقة بمنتجات Nothing.
- الثغرات التي تم الإبلاغ عنها علنًا قبل إصلاحها.
- الثغرات التي تم الإفصاح عنها علنًا على الإنترنت.
- لن يتم مكافأة سوى المبلغ عن الأول لنفس الثغرة، بينما الُمبلغون التاليون لن يحصلوا على أي مكافأة. الثغرة المكتشفة في إصدارات مختلفة تعتبر نفس الثغرة.
- الذين يستغلون الثغرات لإلحاق الضرر بمصالح المستخدمين، أو تعطيل عمليات الأعمال، أو سرقة بيانات المستخدمين لن يحصلوا على أي مكافآت. تحتفظ Nothing أيضًا بالحق في اتخاذ إجراءات قانونية أخرى.
- من خلال المشاركة في برنامج تقديم الثغرة، تقر وتوافق على أن أي مكافآت مُنحت تخضع لشروط وأحكام هذا البرنامج. إذا كانت المكافآت تُمنح بشكل نقدي أو كانت خاضعة للضرائب، فأنت مسؤول عن الامتثال للقوانين الضريبية المحلية والتصريح ودفع أي ضرائب قابلة للتطبيق على المكافأة المستلمة. لا يعد Nothing مسؤولاً عن أي التزامات ضريبية فردية قد تنشأ.
- بسبب القيود القانونية، قد لا يمكن لـ Nothing معالجة المكافآت لدول/مناطق تخضع للعقوبات.
سيتم تخفيض أو إلغاء المكافآت في الحالات التالية:
- للمعلومات التي تتضارب بشكل كبير بين العنوان والمحتوى، سيتم تخفيض درجة الثغرة وفقًا لذلك، وفي الحالات الخطيرة سيتم إلغاء المكافآت.
- سيتم التقييم بناءً على معايير الإبلاغ عالية الجودة. بالنسبة للتقارير التي تفتقر إلى العوامل الرئيسية (وصف النص، إثبات الصورة، عملية الاختبار، واجهة المخاطر، المعايير، إلخ)، والتي لديها هيكل تقرير سيء ولا يمكن إعادة إنتاجها بشكل ثابت، سيتم تخفيض رتبتها/تجاهلها.
- إفشاء تفاصيل الثغرات علنًا بدون إذن من Nothing. في مثل هذه الحالات، تحتفظ Nothing بالحق في استعادة مكافآت الثغرات واتخاذ الإجراءات القانونية المناسبة، بما في ذلك السعي للحصول على تعويضات وإجراء منع العقد.
بالنسبة لنفس عنوان URL، إذا كانت هناك ثغرات مشابهة في معايير متعددة، سيتم منح المكافآت وفقًا لثغرة واحدة، وستُمنح المكافآت حسب درجة الضرر الأكبر لأنواع مختلفة.تُعتبر الثغرات المتعددة الناتجة عن نفس المصدر كالثغرة الواحدة. على سبيل المثال، الأخطاء الأمنية المتعددة الناتجة عن نفس شفرة الجافا سكريبت، الأخطاء الأمنية المتعددة في الصفحات الناتجة عن نفس نظام النشر، الأخطاء الأمنية في كافة المحطات الناتجة عن أطر العمل، الثغرات الأمنية المتعددة الناتجة عن تحليل اسم النطاق، إلخ.إذا قدمت عدة ثغرات في نفس التقرير، سنكافئك بأعلى مستوى ضرر للثغرات.عند تقديم ثغرة، يرجى التأكد مما إذا كانت لها تأثير فعلي على الأعمال وتقديم إثبات الضرر الفعلي. لن يتم احتساب الأضرار غير المباشرة أو الافتراضية عند التقييم. دورة توزيع المكافآت:سنوزع المكافآت في غضون 30 يوم عمل عند الانتهاء من التحقق من الثغرة عبر البريد الإلكتروني. يرجى التحقق من حالة مكافآتك بشكل عاجل. المعلومات الشخصية المعنية:للحصول على المكافأة، تحتاج إلى تقديم حساب NOTHING.tech الخاص بك أو معلومات حساب أخرى. ومع ذلك، لن نطلب أي معلومات شخصية إضافية خلال عملية تقديم الثغرة. سنطلب فقط عنوان بريدك الإلكتروني المسجل للاتصالات ومعلومات حسابك المسجل لإصدار المكافأة.سنصل إلى معلوماتك الشخصية، ونُعالجها، ونُشاركها وفقًا لسياسة الخصوصية الخاصة بنا. بالمشاركة، توافق على الوصول، الاستخدام، ومشاركة معلوماتك الشخصية كما هو موضح أعلاه وفي Privacy Policy. إذا كانت لديك أي أسئلة بخصوص سياسة الخصوصية هذه أو تنفيذها، يمكنك التواصل معنا عبر البريد الإلكتروني: privacy@nothing.tech