Hledat
Ujeté kilometry
Rozšířené vyhledávání
1
Přihlásit se Registrace Noční režim
Prodej vozidla Community

Našli jste v našich systémech bezpečnostní chybu?

Pokud objevíte technickou zranitelnost v našich systémech, existuje proces, jak ji nahlásit. Tomuto procesu se říká Koordinované oznámení zranitelnosti (CVD). Pokud ale narazíte na chybu v systému nebo produktu, který není součástí naší platformy, měli byste ji nejdříve nahlásit přímo vlastníkovi daného systému nebo produktu. Našemu technickému týmu se ozvěte pouze v případě, že příslušná organizace dostatečně nereaguje na řešení zranitelnosti. V takovém případě se postavíme do role zprostředkovatele a pokusíme se na chybu upozornit. Pro jakékoli dotazy nebo připomínky, které se netýkají kybernetické bezpečnosti, nás prosím kontaktujte přes stránku "Kontakt".

Dále, pokud identifikujete zranitelnosti, které ovlivňují více systémů nebo dodavatelů, neváhejte se obrátit na náš technický tým. V těchto případech můžeme pomoci s koordinací řešení pro nalezené chyby. Můžete je nahlásit pomocí našeho kontaktního formuláře a my se vám ozveme, abychom proces řešení usnadnili.

Jaké zranitelnosti mohou být předmětem CVD?

Můžete nám nahlásit zranitelnosti, které mají potenciál ohrozit bezpečnost systému. Například to mohou být chyby, které umožňují obejít přihlašovací formuláře nebo poskytnout neoprávněný přístup k databázím s osobními údaji.

Je důležité si uvědomit, že ne každá chyba systému se kvalifikuje jako zranitelnost. Obvykle následující nedostatky pravděpodobně nevedou k bezpečnostnímu problému, a proto vás prosíme, abyste nám je nehlásili:

  • Chyby, které neovlivňují dostupnost, integritu nebo důvěrnost dat.
  • Dostupnost funkce WordPress xmlrpc.php, pokud je její zneužití omezeno na tzv. 'pingback denial-of-service' útok.
  • Možnost použít cross-site scripting na statickém webu nebo na webu, který nezpracovává žádná citlivá (uživatelská) data.
  • Dostupnost informací o verzi, například přes soubor info.php. Výjimkou může být situace, kdy informace o verzi odhalí, že systém používá software s known vulnerabilities.
  • Nedostatek HTTP security headers používaných mechanismy jako Cross-Origin Resource Sharing (CORS), pokud tento nedostatek nevede prokazatelně k bezpečnostnímu problému.
  • Certifikáty jako SSL nebo doménová jména, jejichž platnost brzy vyprší.

Pokud si nejste jisti, zda nalezená chyba spadá do některé z výše uvedených výjimek, můžete nám ji stále nahlásit.

Pak posoudíme, jestli závada představuje bezpečnostní riziko, a podnikneme patřičné kroky.

Jak nám můžete nahlásit bezpečnostní chyby?

Stačí postupovat takto:

  • Vyplňte kontaktní formulář a popište, co jste objevili.
  • V popisu co nejpřesněji uveďte, jak problém zreprodukovat – urychlí to řešení. Obvykle stačí uvést IP adresu nebo URL postiženého systému a popis zranitelnosti, u složitějších případů vás ale můžeme požádat o další informace.
  • Minimálně uveďte e-mail nebo telefon, abychom se vás mohli na cokoli zeptat. Raději komunikujeme e-mailem.

Dbejte na to, abyste:

  • Nahlásili chybu co nejdřív po jejím objevení.
  • O problému nikomu neříkali, dokud vám nepotvrdíme, že je vyřešen.
  • Nakládali s informací o chybě odpovědně – například nepodnikali žádné další kroky nad rámec nutný k její demonstraci.

Čemu se určitě vyhnout?

Nikdy neprovádějte následující:

  • Zavádění malwaru do systému.
  • Kopírování, úpravy nebo mazání dat v systému.
  • Provádění změn v systému.
  • Opakovaný přístup do systému nebo sdílení přístupu s dalšími osobami.
  • Brute force útoky za účelem získání přístupu.
  • DoS útoky nebo sociální inženýrství.

Naše zásady ohledně hlášení chyb

  • Pokud postupujete dle našich pokynů, nehrozí vám kvůli nahlášení žádné právní následky. Vaši zprávu budeme považovat za důvěrnou a vaše údaje neposkytneme třetím stranám bez vašeho souhlasu, ledaže by to vyžadoval zákon nebo soud.
  • Jako objevitele chyby vás uvedeme pouze s vaším svolením.
  • Potvrdíme přijetí hlášení do jednoho pracovního dne a do tří pracovních dnů vám zašleme vyhodnocení. Budeme vás také informovat o průběhu řešení.
  • Náš bezpečnostní tým se snaží vyřešit nahlášené problémy do 60 dnů. Po vyřešení se s vámi domluvíme, jestli a jak zveřejnit podrobnosti o chybě a jejím odstranění.
  • Jako poděkování za pomoc nabízíme odměnu – od kávy přes tričko po dárkové poukázky, podle závažnosti chyby a kvality hlášení.
Aby ses mohl kvalifikovat za odměnu, musí hlášení popisovat závažnou bezpečnostní chybu, kterou náš bezpečnostní tým ještě nezná.

Lokalita

Ujeté kilometry: km