Nagrody za zgłaszanie błędów (Bug Bounty)
Firma Bentley jest zobowiązania do bezpiecznego przechowywania danych naszych użytkowników. Dokładamy wszelkich starań, żeby sposób, w jaki to robimy, był przejrzysty. Świadczą o tym nasze niezawodne standardy i certyfikaty dotyczące prywatności i ochrony danych, bezpieczeństwa i zgodności z przepisami ustawowymi i wykonawczymi.
Wytyczne Programu odpowiedzialnego ujawniania informacji prowadzonego przez Bentley Systems
At Bentley Systems, we take the security of our systems and products seriously, and we value the security community. The disclosure of security vulnerabilities helps us ensure the security and privacy of our users.
1. Wytyczne ogólne
Bentley Systems wymaga, aby wszyscy badacze:
- Podczas testów zabezpieczeń unikali naruszania prywatności, pogarszania komfortu pracy użytkowników, zakłóceń w systemach produkcyjnych i niszczenia danych.
- Prowadzili badania wyłącznie w zakresie wskazanym poniżej.
- Przekazywali nam raporty o lukach w zabezpieczeniach przy użyciu kanałów komunikacji określonych poniżej.
- Do czasu wyeliminowania wykrytych luk w zabezpieczeniach nie ujawniali ich nikomu poza firmą Bentley Systems.
- Nie będziemy podejmować ani wspierać żadnych działań prawnych w związku z badaniami zabezpieczeń prowadzonymi przez tego badacza.
- Będziemy współpracować z badaczem, aby zrozumieć, na czym polega problem i szybko go wyeliminować.
2. Kodeks postępowania i obowiązki prawne
Uznajemy, że badania luk w zabezpieczeniach prowadzone zgodnie z niniejszymi zasadami:
- Odbywają się na podstawie upoważnienia, zgodnie z ustawą o oszustwach i nadużyciach popełnianych z wykorzystaniem komputerów (CFAA, Computer Fraud and Abuse Act) (lub podobnymi przepisami krajowymi), i nie będziemy podejmować ani wspierać działań prawnych przeciwko badaczowi z powodu przypadkowych naruszeń tych zasad popełnionych w dobrej wierze.
- Nie podlegają amerykańskiej ustawie o prawie autorskim w stuleciu cyfrowym (DMCA, Digital Millennium Copyright Act) i nie będziemy wysuwać przeciwko badaczowi roszczeń w związku z obejściem technicznych środków kontroli.
- Nie podlegają tym ograniczeniom sformułowanym w naszych warunkach, postanowieniach i regulaminach, które zakłócałyby badanie zabezpieczeń, i w ograniczonym zakresie znosimy te ograniczenia w odniesieniu do czynności wykonywanych zgodnie z niniejszymi zasadami.
- Są zgodne z prawem, korzystne dla ogólnego bezpieczeństwa Internetu i prowadzone w dobrej wierze.
Od badacza oczekuje się, jak zawsze, przestrzegania wszystkich obowiązujących przepisów prawa. Jeśli kiedykolwiek badacz będzie miał wątpliwości co do tego, lub nie będzie pewien, czy prowadzone przez niego badanie zabezpieczeń jest zgodne z niniejszymi zasadami, powinien przed kontynuowaniem badania przesłać zgłoszenie za pośrednictwem jednego z określonych poniżej kanałów komunikacji.
3. W zakresie / poza zakresem badań
Zakres | Poza zakresem |
---|---|
|
|
4. Kwalifikujące się luki / wyłączenia
Kwalifikujące się luki | Wyłączenia |
---|---|
|
|
*Należy zgłaszać wyłącznie, gdy dysponuje się dowodem poprawności koncepcji (PoC) w postaci dwóch zrzutów ekranu ze znacznikami czasu i widoczną subdomeną. Te zrzuty ekranu muszą dowodzić, że subdomena była wolna przez co najmniej jedną godzinę. Narzędzia skanujące często wychwytują krótkie okresy, w których akurat wprowadzane są zmiany dotyczące subdomeny, co może wskazywać na lukę tylko pozornie: rekord DNS jest zaraz potem usuwany. Załączenie zrzutów ekranu pozwoli uniknąć fałszywych zgłoszeń i niepotrzebnej straty czasu badacza oraz naszego zespołu.
Raporty z niepełnym dowodem PoC (jeden znacznik czasu lub brak znacznika) nie będą traktowane jako pierwsze raporty.
Uwaga! Niedozwolony jest dowód PoC polegający na faktycznym przejęciu zgłaszanej subdomeny.
5. Sposób zgłaszania
Badacz, który uważa, że znalazł lukę w zabezpieczeniach jednego z naszych produktów lub jednej z naszych platform, powinien wypełnić formularz na tej stronie.
A good practice is to think whether the discovered vulnerability puts at risk:
- Bentley Systems clients’ information.
- Bentley Systems software.
- Bentley Systems reputation.
Należy podać następujące informacje:
- Szczegółowy opis luki zawierający takie informacje, jak adres URL, pełne żądanie/odpowiedź HTTP i typ luki.
- Information necessary to reproduce the issue.
- Proof of concept including practical severity and attack scenario, indication of a potential risk only is hard to evaluate and usually such report is not approved.
- If applicable, a screenshot and/or video of the vulnerability.
- Dane kontaktowe, imię i nazwisko, e-mail, numer telefonu, lokalizację. Zgłoszenia bez tych informacji nie będą brane pod uwagę.
- IMPORTANT NOTE. You may only make the initial submission through the form. If you have any questions not mentioned in a form, please e-mail us at [email protected].
6. Reguły testowania zabezpieczeń
- Bezwzględnie zabronione są ataki typu „odmowa usługi” (DoS).
- Bezwzględnie zabronione są wszelkie formy ataków siłowych w celu odkrycia poświadczeń.
- Zabronione jest publiczne ujawniane zgłaszanej luki zanim zostanie ona wyeliminowana.
- Badaczowi nie wolno przerywać ani pogarszać działania naszych systemów ani naruszać prywatności naszych użytkowników bądź integralności ich danych.
- Wykorzystywanie luk (w celu innym niż uzyskanie ogólnego dowodu poprawności koncepcji (PoC)) jest bezwzględnie zabronione i będzie ścigane zgodnie z mającym zastosowanie prawem.
- Jeśli luka w zabezpieczeniach umożliwia niezamierzony dostęp do danych, badacz ma obowiązek:
- ograniczyć ilość danych, do których uzyskuje dostęp, do minimum niezbędnego do skutecznego dowiedzenia poprawności koncepcji (PoC); oraz
- zaprzestać testowania; oraz
- natychmiast wysłać raport w razie napotkania podczas testowania jakichkolwiek danych użytkowników, takich jak informacje umożliwiające identyfikację osób (PII, Personally Identifiable Information), informacje medyczne dotyczące osób (PHI, Personal Healthcare Information), dane kart kredytowych lub informacje
zastrzeżone.
- Firma Bentley nie będzie odpowiadać na próby wymuszenia lub inne działania przestępcze o podobnym charakterze (np. żądania zapłaty z góry w zamian za niewykorzystanie znalezionej luki).
7. Publiczne ujawnianie
Prosimy wstrzymać się przez 90 dni z ujawnianiem publicznym luki, chyba że nasz zespół wcześniej poinformuje o jej wyeliminowaniu. Ujawnienie luki z naruszeniem tego ograniczenia spowoduje podjęcie działań prawnych.
8. Duplikaty
- Only the first researcher to report an issue will be entitled for a reward.
- The reports of the same issue in different environments are not rewarded and closed as duplicates. (e.g. dev-*-bentley.com, qa- dev-*-bentley.com, prod- dev-*-bentley.com)
- The reports of the same issue in different deployment regions are not rewarded and closed as duplicates. (e.g. *.us.bentley.com, *.eus-bentley.com, *.in.-*-bentley.com)
- Multiple instances of the same issue will only be compensated to a max of 3x the reward sum. (e.g. expires SSL certificate on 25 domain and subdomains will count 3×100 USD, and not 25×100 USD)
9. Wstępna kwalifikacja luk w zabezpieczeniach
- Zgłoszona luka zostanie przeanalizowana.
- You will be informed if the issue is closed without a reward. We do not send a detailed explanation of the resolution.
- If we determine the submission is valid and meets the requirements of this policy, you may receive a reward after the fix is implemented. Our commitment is to reward your efforts within 90 days.
10. Wynagrodzenie
Przykłady luk w zabezpieczeniach | Przedział cen (USD)** |
---|---|
Ominięcie kontroli dostępu (podwyższenie uprawnień) | 250–450 |
Problemy z logiką biznesową | 100–300 |
Współużytkowanie zasobów między źródłami (CORS) | 100–200 |
Fałszerstwo żądania międzywitrynowego (CSRF) | 150–250 |
Skrypty między witrynami (XSS) | 100–200 |
Przejmowanie DLL | 50 |
Iniekcja hiperłączy | 50 |
Identyfikacja i uwierzytelnianie | 250–450 |
Niezabezpieczone bezpośrednie odwołanie do obiektu (IDOR) | 250–450 |
Otwarte przekierowanie | 50–150 |
Inne | 0–500 |
Zdalne wykonanie kodu | 600 |
Błędy w konfiguracji zabezpieczeń | 50–250 |
Ekspozycja danych wrażliwych | 50–200 |
Secrets leak | 200–500 |
Błędy w konfiguracji sesji | 50–200 |
Iniekcja SQL | 250–500 |
NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following:
- report was submitted by current of former employee of Bentley Systems
- report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
- report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
- report was submitted by the employee of the company that is a Bentley System’s service provider.
- report was submitted by an individual residing in a country that is currently subject to international sanctions.
- Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.
**Za więcej niż jedno wystąpienie tego samego problemu przysługuje wynagrodzenie nieprzekraczające 3-krotności ceny.
**Zgłoszenia tego samego problemu w różnych środowiskach produktu (programistycznym, testowym, produkcyjnym) będą liczone jako jedno.
Zastrzegamy sobie prawo do zmiany niniejszych zasad w dowolnym momencie i z dowolnej przyczyny, a ponadto nie możemy zagwarantować wynagrodzenia za wszystkie raporty. Wynagrodzenie jest wypłacane wyłącznie za pośrednictwem serwisu PayPal.
WAŻNE. Należy wysłać wyłącznie ważny adres do płatności PayPal: płatności nie będą wykonywane na adresy inne niż oryginalny. Jeśli z jakiegokolwiek powodu transakcja nie powiedzie się (tj. PayPal odrzuci transakcję; bank docelowy nie przyjmie płatności; nastąpi przekroczenie limitu kwoty, płatność będzie przyjmowana tylko przez witrynę internetową lub zgodnie z inną procedurą itp.), płatność zostanie anulowana i nie zostanie powtórnie zlecona.
Bentley Systems zastrzega sobie prawo do zakończenia prowadzenia Programu odpowiedzialnego ujawniania informacji oraz związanego z nim systemu płatności — w dowolnym czasie i bez zapowiedzi.
Wyślij raport
Spis treści
Bentley Systems wymaga, aby wszyscy badacze:
- Podczas testów zabezpieczeń unikali naruszania prywatności, pogarszania komfortu pracy użytkowników, zakłóceń w systemach produkcyjnych i niszczenia danych.
- Prowadzili badania wyłącznie w zakresie wskazanym poniżej.
- Przekazywali nam raporty o lukach w zabezpieczeniach przy użyciu kanałów komunikacji określonych poniżej.
- Do czasu wyeliminowania wykrytych luk w zabezpieczeniach nie ujawniali ich nikomu poza firmą Bentley Systems.
- Nie będziemy podejmować ani wspierać żadnych działań prawnych w związku z badaniami zabezpieczeń prowadzonymi przez tego badacza.
- Będziemy współpracować z badaczem, aby zrozumieć, na czym polega problem i szybko go wyeliminować.
Uznajemy, że badania luk w zabezpieczeniach prowadzone zgodnie z niniejszymi zasadami:
- Odbywają się na podstawie upoważnienia, zgodnie z ustawą o oszustwach i nadużyciach popełnianych z wykorzystaniem komputerów (CFAA, Computer Fraud and Abuse Act) (lub podobnymi przepisami krajowymi), i nie będziemy podejmować ani wspierać działań prawnych przeciwko badaczowi z powodu przypadkowych naruszeń tych zasad popełnionych w dobrej wierze.
- Nie podlegają amerykańskiej ustawie o prawie autorskim w stuleciu cyfrowym (DMCA, Digital Millennium Copyright Act) i nie będziemy wysuwać przeciwko badaczowi roszczeń w związku z obejściem technicznych środków kontroli.
- Nie podlegają tym ograniczeniom sformułowanym w naszych warunkach, postanowieniach i regulaminach, które zakłócałyby badanie zabezpieczeń, i w ograniczonym zakresie znosimy te ograniczenia w odniesieniu do czynności wykonywanych zgodnie z niniejszymi zasadami.
- Są zgodne z prawem, korzystne dla ogólnego bezpieczeństwa Internetu i prowadzone w dobrej wierze.
Od badacza oczekuje się, jak zawsze, przestrzegania wszystkich obowiązujących przepisów prawa. Jeśli kiedykolwiek badacz będzie miał wątpliwości co do tego, lub nie będzie pewien, czy prowadzone przez niego badanie zabezpieczeń jest zgodne z niniejszymi zasadami, powinien przed kontynuowaniem badania przesłać zgłoszenie za pośrednictwem jednego z określonych poniżej kanałów komunikacji.
Zakres |
---|
|
Poza zakresem |
|
Kwalifikujące się luki |
---|
|
Wyłączenia |
|
Badacz, który uważa, że znalazł lukę w zabezpieczeniach jednego z naszych produktów lub jednej z naszych platform, powinien wypełnić formularz na tej stronie.
Należy podać następujące informacje:
- Szczegółowy opis luki zawierający takie informacje, jak adres URL, pełne żądanie/odpowiedź HTTP i typ luki.
- Informacje potrzebne do odtworzenia problemu.
- Jeśli ma zastosowanie — zrzut ekranu i/lub klip wideo przedstawiający lukę.
- Dane kontaktowe, imię i nazwisko, e-mail, numer telefonu, lokalizację. Zgłoszenia bez tych informacji nie będą brane pod uwagę.
- WAŻNA UWAGA. Za pośrednictwem formularza można dokonywać tylko pierwszych zgłoszeń. W razie pytań nieujętych w formularzu prosimy skontaktować się z nami e-mailowo pod adresem [e-mail chroniony].
- Bezwzględnie zabronione są ataki typu „odmowa usługi” (DoS).
- Bezwzględnie zabronione są wszelkie formy ataków siłowych w celu odkrycia poświadczeń.
- Zabronione jest publiczne ujawniane zgłaszanej luki zanim zostanie ona wyeliminowana.
- Badaczowi nie wolno przerywać ani pogarszać działania naszych systemów ani naruszać prywatności naszych użytkowników bądź integralności ich danych.
- Wykorzystywanie luk (w celu innym niż uzyskanie ogólnego dowodu poprawności koncepcji (PoC)) jest bezwzględnie zabronione i będzie ścigane zgodnie z mającym zastosowanie prawem.
- Jeśli luka w zabezpieczeniach umożliwia niezamierzony dostęp do danych, badacz ma obowiązek:
- ograniczyć ilość danych, do których uzyskuje dostęp, do minimum niezbędnego do skutecznego dowiedzenia poprawności koncepcji (PoC); oraz
- zaprzestać testowania; oraz
- natychmiast wysłać raport w razie napotkania podczas testowania jakichkolwiek danych użytkowników, takich jak informacje umożliwiające identyfikację osób (PII, Personally Identifiable Information), informacje medyczne dotyczące osób (PHI, Personal Healthcare Information), dane kart kredytowych lub informacje
zastrzeżone.
- Firma Bentley nie będzie odpowiadać na próby wymuszenia lub inne działania przestępcze o podobnym charakterze (np. żądania zapłaty z góry w zamian za niewykorzystanie znalezionej luki).
Prosimy wstrzymać się przez 90 dni z ujawnianiem publicznym luki, chyba że nasz zespół wcześniej poinformuje o jej wyeliminowaniu. Ujawnienie luki z naruszeniem tego ograniczenia spowoduje podjęcie działań prawnych.
Zgodnie z niniejszymi zasadami rozpatrywany będzie udział w programie wyłącznie pierwszego badacza, który zgłosi problem lub podobne problemy. Dotyczy to także zgłoszeń tego samego problemu w różnych środowiskach (np. programistycznym, testowym, produkcyjnym).
Po otrzymaniu zgłoszenia:
- Zgłoszona luka zostanie przeanalizowana.
- Jeśli uznamy, że zgłoszenie jest uzasadnione i spełnia wymagania określone w niniejszych zasadach, być może badacz będzie mógł otrzymać wynagrodzenie.
- Badacz zostanie poinformowany o wyeliminowaniu problemu.
Przykłady luk w zabezpieczeniach | Przedział cen (USD)** |
---|---|
Ominięcie kontroli dostępu (podwyższenie uprawnień) | 200–400 |
Problemy z logiką biznesową | 100–300 |
Współużytkowanie zasobów między źródłami (CORS) | 100–200 |
Fałszerstwo żądania międzywitrynowego (CSRF) | 100–200 |
Skrypty między witrynami (XSS) | 50–150 |
Przechodzenie przez katalogi | 100–200 |
Przejmowanie DLL | 100–200 |
Iniekcja hiperłączy | 50 |
Identyfikacja i uwierzytelnianie | 200–400 |
Niezabezpieczone bezpośrednie odwołanie do obiektu (IDOR) | 200–400 |
Otwarte przekierowanie | 50–150 |
Inne | 0–500 |
Zdalne wykonanie kodu | 500 |
Błędy w konfiguracji zabezpieczeń | 50–200 |
Ekspozycja danych wrażliwych | 50–500 |
Błędy w konfiguracji sesji | 50–150 |
Iniekcja SQL | 200–400 |