Program Bug bounty

Program Bug Bounty

Gaseste erori in website-urile si platformele noastre si poti fi remunerat

Scopul acestui program este sa defineasca regulile de colaborare cu investigatorii-specialisti in domeniul securitatii informatice in timpul efectuarii testelor de securitate in mediul de lucru al grupului tbi bank. Obiectivele acestui program sunt:

sa stabileasca daca si in ce mod un utilizator neautorizat poate obtine acces neautorizat la activele care afecteaza securitatea de baza a sistemului, fisierele, inregistrarile si / sau datele sensibile;
pentru a confirma ca au fost instituite masuri de control aplicabile, cum ar fi acoperirea, gestionarea vulnerabilitatilor, metodologia si segmentarea.

Domeniul de aplicare al acestei politici include toate activele: tbi bank EAD, tbi bank EAD Sofia – Sucursala Bucuresti, tbi money IFN SA (Romania), tbi leasing SA (Romania). Acest Program acopera o varietate de medii de lucru, cum ar fi toate sistemele, aplicatiile, serviciile de internet, Interfete pentru aplicatii (API-urile), serviciile mobile si toate tintele potentiale de atac care fac parte din infrastructura bancii.

Nu folositi niciodata descoperirile dvs. pentru a compromite / extrage date sau pentru a le redirectiona catre alte sisteme. Folositi metoda dovedirii conceptului numai pentru a demonstra aspectul problematic concret.

Daca informatii sensibile (cum ar fi informatii personale, date de identitate etc.) sunt accesate ca parte a unei vulnerabilitati anume, atunci aceste informatiile sensibile nu ar trebui sa fie memorate, stocate, transferate, accesate sau procesate in niciun alt mod dupa dezvaluirea sa initiala. Toate copiile informatiilor sensibile trebuie returnate lui tbi bank si nu pot fi pastrate.

Investigatorii nu pot si nu sunt autorizati sa se angajeze in nicio activitate care poate pune in pericol, dauneaza sau cauzeaza pagube marcilor comerciale ale tbi bank sau utilizatorilor sai. Inclusiv: inginerie sociala, achizitie frauduloasa de informatii sensibile pe internet (phishing), amenintari la adresa securitatii fizice si atacuri de tipul ”refuz de serviciu” (DDOS) impotriva utilizatorilor si angajatilor.

Investigatorii nu pot face vulnerabilitatile descoperite public (prin impartasirea oricaror detalii cu oricine altcineva decat angajatii autorizati) sau in alt mod sa impartaseasca vulnerabilitati cu o terta parte fara permisiunea scrisa expresa a tbi bank.

Conditii juridice

tbi bank nu acorda permisiunea / autoritatea (implicit sau explicit) nici unei persoane sau grupuri de persoane de a extrage informatii personale sau date ale oricaror utilizatori sau de a dezvalui aceste informatii intr-un mediu de internet deschis, public, fara acordul utilizatorului, sau sa modifice sau sa utilizeze in scopuri daunatoare produse software sau date care apartin lui tbi bank.

tbi bank nu va da in judecata sau nu va initia orice alta actiune legala impotriva unui investigator ca raspuns la o vulnerabilitate raportata de acesta daca investigatorul indeplineste toate cerintele acestui program.

Verificare / Testare

Va rugam sa efectuati urmatoarele actiuni atunci cand participati la programul „Remuneratie pentru detectarea erorilor de programare”:

Trebuie sa furnizati adresa dvs. IP in raportul erorilor de programare. Vom pastra aceasta informatie ca fiind una personala si o vom folosi doar pentru a verifica inregistrarile / jurnalele referitoare la activitatea dvs. de testare.
Includeti un antet HTTP personalizat in tot traficul dvs. de informatii. Programul Burp si alte programe proxy va permit sa adaugati automat anteturi la toate solicitarile trimise. Spuneti-ne ce tip de antet ati configurat pentru a-l putea identifica mai usor. De exemplu:

o Randul de antet care include numele dvs. de utilizator: X-Bug-Bounty: HackerOne-
o Randul de antet care include un flag unic sau identificabil: X-Bug-Bounty: ID-

Atunci cand testati erorile de programare, de asemenea, luati in considerare:

Folositi numai conturi autorizate, astfel incat sa nu compromiteti din greseala informatiile confidentiale ale utilizatorilor nostri;
Cand incercati sa demonstrati drepturi administrative cu urmatoarele primitive intr-un proces vulnerabil, utilizati urmatoarele comenzi:

o   Citeste (Read): cat/proc/1/maps
o   Scrieti (Write): touch/root/
o   Executati (Execute): identificatia (id), numele serverului (hostname), comanda pwd (desi comenzile tehnice „cat” si „touch” demonstreaza de asemenea executarea)

Minimizati potentiale daune. Urmati regulile programului in orice moment. Nu folositi programe / instrumente de scanare automata – aceste instrumente includ continut care poate declansa modificari ale conditiilor sau deteriora sistemele si / sau datele de lucru.
Inainte de a face pagube sau de a provoca daune potentiale: Opriti-va, raportati ce ati descoperit si solicitati permisiunea pentru teste suplimentare.

Dezvaluirea responsabila a Vulnerabilitatilor

Lucram constant pentru a dezvolta programul nostru de descoperire a erorilor de programare. Scopul nostru este sa raspundem cat mai rapid la rapoartele primite si sa depunem toate eforturile pentru a indeparta erorile de programare in termen de 120 de zile de la clasificarea acestora.

Pentru a incuraja raportarea vulnerabilitatilor la tbi bank, va invitam sa ne trimiteti orice fel de vulnerabilitati pe care le-ati identificat. Dupa cum am mentionat, puteti fi recompensati pentru acest lucru. Suma remuneratiei depinde de gravitatea vulnerabilitatii raportate, de tipul paginii de internet afectate (pagini de informatii statice versus pagini de tranzactii bancare online), dar si de calitatea raportului pe care il primim.

Veti avea dreptul la remuneratie numai daca sunteti primul care raporteaza o problema necunoscuta. La discretia tbi bank, remuneratia poate fi majorata atunci cand se furnizeaza un studiu mai complet, a codului de proba a conceptiei si a investigarii detaliate. Contrariul este, de asemenea, valabil – tbi bank poate plati mai putin pentru vulnerabilitatile descoperite, care necesita interactiuni complexe sau prea complexe sau al caror impact sau risc de securitate este neglijabil. Remuneratia poate fi refuzata daca exista dovezi privind incalcarea Politicii programului.

Remuneratia va fi refuzata daca gasim dovezi de abuz.

Urmatoarele cazuri problematice sunt considerate ca nu intra in sfera de aplicare a programului:

Cele referitoare la servicii furnizate de terti
Probleme care nu afecteaza cele mai recente versiuni ale browser-elor moderne
Probleme despre care stim sau au fost raportate deja in trecut
Probleme care necesita interactiuni improbabile cu utilizatorii
Dezvaluirea informatiilor care nu prezinta un risc semnificativ
Refacerea unei Solicitari intre diferite site-uri cu impact minim de securitate
Incorporarea („injectarea”) fisierelor in format CSV
SPF / DKIM incomplete sau lipsa
Luarea in considerare a celor mai bune practici general acceptate

Atentie!

Va rugam, cititi cu atentie intregul regulament al Programului „Remuneratie pentru detectarea erorilor de programare” din documentul atasat, unde veti gasi toate detaliile legate de cooperare, cerinte de raportare, raspundere penala, confidentialitate si alte detalii importante bine definite.

Daca aveti intrebari, va rugam sa ne scrieti la: bugbounty@tbibank.bg