INMAGINE Security Disclosure Policy

We nemen de veiligheid van onze systemen serieus en we nemen de veiligheid van onze gebruikers, medewerkers, en klanten hoog op. Het onthullen van beveiligingslekken helpt ons om de veiligheid en privacy van onze gebruikers te waarborgen.

Richtlijnen

Als u onze website bezoekt en eventuele beveiligingsproblemen opmerkt, vereisen wij dat alle onderzoekers:
  • Er alles aan doen om privacyschendingen, verslechtering van de gebruikerservaring, verstoring van productiesystemen en vernietiging van gegevens tijdens veiligheidstests te voorkomen;
  • De geďdentificeerde communicatiekanalen gebruiken om kwetsbaarheidsinformatie aan ons te melden; en
  • Informatie over eventuele kwetsbaarheden die u hebt ontdekt vertrouwelijk houden tussen uzelf en INMAGINE totdat we [90] dagen de tijd hebben gehad om het probleem op te lossen.

Vertrouwelijkheid

Alle informatie die u heeft gevonden of verzamelt over INMAGINE of een INMAGINE gebruiker via de beveiligingsfouten moet vertrouwelijk worden behandeld en alleen worden gebruikt in verband met ons. Toegang tot privé-informatie van andere gebruikers, het uitvoeren van handelingen die een negatief effect kunnen hebben op INMAGINE gebruikers, is strikt verboden. U mag dergelijke vertrouwelijke informatie niet gebruiken, openbaar maken of verspreiden, met inbegrip van, maar niet beperkt tot, informatie met betrekking tot uw inzending en informatie die u verkrijgt bij het onderzoek van de INMAGINE sites, zonder voorafgaande schriftelijke toestemming van INMAGINE.

In het belang van de veiligheid van onze gebruikers, personeel, willen wij u vragen zich te onthouden van:
  • Spamming.
  • Social engineering (inclusief phishing) van INMAGINE medewerkers, tussenpersonen of klanten.
  • Eventuele fysieke pogingen tegen INMAGINE eigendommen of datacenters.
  • Cryptomining.
  • Toegang nemen tot, of poging tot toegang nemen van, gegevens of informatie die niet aan u toebehoort.
  • Vernietigen of corrumperen, of proberen te vernietigen of corrumperen, van gegevens of informatie die niet aan u toebehoort.
  • Het veroorzaken, of proberen te veroorzaken, van een Denial of Service (DoS/DDoS) aandoening.

Als u zich aan deze richtlijnen houdt en dit onmiddellijk aan ons meldt, verplichten wij ons ertoe:
  • Geen juridische stappen te ondernemen tegen veiligheidsonderzoekers die proberen om kwetsbaarheden in onze systemen te vinden die zich aan dit beleid houden.

Hoe meldt u een beveiligingslek?

Wij zijn van mening dat alle technologie bugs bevat en dat het publiek een cruciale rol speelt bij het identificeren van deze bugs. Als u denkt dat u een beveiligingslek hebt gevonden in een van onze producten of platforms, stuur het dan onmiddellijk naar ons door een e-mail te sturen naar patrick@123rf.com. Gelieve de volgende gegevens bij uw rapport te voegen:
  • Beschrijving van de locatie en de mogelijke impact van de kwetsbaarheid;
  • Een gedetailleerde beschrijving van de stappen die nodig zijn om de kwetsbaarheid te reproduceren (POC-scripts, screenshots en gecomprimeerde screencaptures zijn allemaal nuttig voor ons); en
  • Uw naam/pseudoniem

Voorwaarden om in aanmerking te komen

Wij accepteren rapporten op basis van ernst niet minder dan 6 per CVSS 3.1. De uiteindelijke ernst kan worden aangepast om de impact van de gerapporteerde kwetsbaarheid op onze domeinen te weerspiegelen.

Meer over CVSS 3.1 scoren: https://www.first.org/cvss/calculator/3.1


In omvang

*.123rf.com

*.pixlr.com

*.designs.ai


Buiten bereik

Bij het rapporteren van kwetsbaarheden dient u rekening te houden met het aanvalsscenario / de exploiteerbaarheid en de beveiligingsimpact van de bug. De volgende zaken worden buiten de scope van dit programma gehouden, en we zullen geen van de volgende soorten aanvallen accepteren:
  • Denial-of-service-aanvallen
  • Spam, social engineering of e-mail phishing technieken (bijv. phishing, vishing, smishing)
  • E-mail spoofing
  • Eventuele beveiligingslekken aan de clientzijde (bijv. browsers, plugins)
  • Openbaarmaking van de softwareversie
  • Gereflecteerd bestand downloaden
  • Eventuele fysieke toegangsproblemen
  • Publiek toegankelijke pagina's
  • Elke zwakte of openbaarmaking van informatie die niet leidt tot een directe kwetsbaarheid
  • E-mail of rekeningnummer
  • CSV-commando-uitvoering en zwakke punten van de CSP's
  • Eventuele kwetsbaarheden in apps of websites van derden vallen over het algemeen niet onder ons programma.

Wijzigingen in de voorwaarden

Inmagine behoudt zich het recht voor om dit Bug Bounty Programma en haar beleid op elk moment te wijzigen of te annuleren, zonder voorafgaande kennisgeving.

Dienovereenkomstig kan Inmagine deze Voorwaarden en/of haar beleid te allen tijde wijzigen door een herziene versie op de website van Inmagine te plaatsen. U accepteert de gewijzigde Voorwaarden als u blijft deelnemen aan het Bug Bounty Programma nadat er wijzigingen zijn aangebracht in de Voorwaarden.