أمن المعلومات في مجموعة الشايع

يعد الأمن السيبراني ذو أهمية كبيرة في مجموعة الشايع حيث يعمل فريق أمن المعلومات بجد لحماية أصول معلومات الشركة، وخدماتها، ومنتجاتها، وسرية معلومات الزبائن. وإنه من أهم أولوياتنا ضمان التزامنا بجميع متطلبات الأمان الحديثة وإثبات أن بيانات زبائننا محمية دائمًا.
 

ما هو برنامج الكشف عن الثغرات الأمنية (VDP)؟

يسمح برنامج الكشف عن الثغرات الأمنية للباحثين الأمنيين المستقلين باكتشاف المشكلات الأمنية التي تؤثر على سرية وسلامة و / أو توفر معلومات الزبون أو الشركة، ومن ثم الإبلاغ عنها.

الغرض

بما أن مجتمع أبحاث الأمن العالمي يقدم مساهمات في كثير من الأحيان لأمن الإنترنت، فإننا في مجموعة الشايع نؤمن أن توطيد العلاقة مع هذا المجتمع سيعمل أيضًا على تحسين أمننا. نتيجة لذلك، إذا كانت لديكم أية معلومات عن أي ثغرة أمنية، فنحن مستعدون للاستماع إليكم! هذا هو المغزى من برنامج الكشف عن الثغرات الأمنية (VDP)، وهو جزء من جهود مجموعة الشايع لفتح مجال التعاون بين الشركة و الباحثين الأمنيين الخارجيين. إذا كنتم باحثين أمنيين أو خبراء وتعتقدون أنكم قد رصدتم أي مشكلات متعلقة بأمان أي من أصول الشركة، فنحن نقدر لكم الكشف عنها لنا بمسؤولية. من خلال تقديمكم للتقرير، فإنكم تقرون وتوافقون على الشروط والأحكام الواردة في هذه السياسة. كما أنكم تقرون أيضاً، إلى الحد الذي لا يتعارض مع هذه السياسة؛ أنكم تخضعون لـ:
 
  • إرشادات الإفصاح لشركة HackerOne 
  • شروط وأحكام الباحثين الأمنيين (الهاكرز)
  • الأحكام والشروط العامة

أهداف الرد
سيبذل الفريق المختص في مجموعة الشايع قصارى جهده لتلبية اتفاق مستوى الخدمة التالي للباحثين الأمنيين المشاركين في برنامجنا:

 
نوع الرد اتفاق مستوى الخدمة بأيام العمل
أول رد يوم واحد
توقيت الفرز من 3 إلى 5 أيام
توقيت الحل يعتمد على درجة الخطورة والتعقيد

سيضمن الفريق اطلاعكم على التقدم الذي حققه طوال سير العملية.


سياسة الإفصاح
  • نظرًا لخصوصية البرنامج، يرجى عدم مناقشته أو أي ثغرات (حتى التي تم حلها) خارج البرنامج دون موافقة صريحة من الشركة.
  • يرجى اتباع إرشادات الإفصاح الخاصة بشركة  HackerOne.

قواعد البرنامج

•    يرجى تقديم تقارير مفصلة مع خطوات قابلة للتكرار. إذا لم يكن التقرير مفصلاً بشكل كافِ لإعادة إظهار المشكلة، فقد لا يتم وضع علامة على المشكلة لتوضيح أنه تم فرزها.
•    يجب أن يحتوي كل تقرير مرسل على ثغرة أمنية واحدة، إلا إذا كنتم بحاجة إلى سلسلة من الثغرات لتوضيح التأثير.
•    عند استلام نسخ مكررة، يعمل الفريق فقط على فرز التقرير الأول الذي تم استلامه (بشرط إمكانية تكراره بالكامل).
•    سيتم التعامل مع الثغرات الأمنية المتعددة الناتجة عن مشكلة أساسية واحدة على أنها تقرير واحد صالح.
•    تحظر الهندسة الاجتماعية (مثل التصيد الاحتيالي من خلال البريد الإلكتروني، الرسائل النصية أو الصوتية).
•    يحظر جمع أي ملكية أو بيانات خاصة بمجموعة الشايع أو بيانات تخص شركاء أعمال الشايع، أو الزبائن، أو الموظفين، أو أصحاب الامتياز، أو المالكين، أو المساهمين، أو الموردين، أو أي طرف آخر مرتبط بشكل مباشر أو غير مباشر بمجموعة الشايع، كما يحظر الكشف عن هذه البيانات، أو تدميرها، أو تسويتها، أو تغييرها، أو التدخل فيها، أو نقلها. تُحظر تماماً إجراءات مثل تخزين بيانات الشايع في خدمات الإنترنت العامة مثل موقع Pastebin. يجب عليكم إخطار الفريق المختص في الشايع على الفور إذا حصلتم على بيانات خاصة بمجموعة الشايع أو أجريتم أي تعديل عليها، أو حذفتوها أو خزنتوها.
•    يحظر استخدام الماسحات الضوئية / الأدوات الآلية مثل Tenable/Nessus, Qualys, WebInspect, Acunetix أو أي أداة آلية أخرى.
•    يجب عليكم أيضاً الحرص على عدم الاضرار بتوافر خدماتنا أو استقرارها. يجب ألا تجروا أي اختبارات DoS / DDoS  ولا ترسلوا بريد عشوائي
•    يجب أن تلتزم جميع الطلبات أيضًا بمدونة قواعد السلوك الخاصة بشركة HackerOne
•    لا يمكنكم تهديد مجموعة الشايع أو محاولة ابتزاز الشركة. لن نقدر جهودكم إذا هددتم بحجب المشكلة الأمنية عنا أو إذا هددتم بالإفصاح عن الثغرة الأمنية أو كشفتم أي بيانات للعامة.
•    يمكن لمجموعة الشايع تغيير قواعد برنامج الإفصاح عن الثغرات الأمنية في أي وقت.
•    لا يمكنكم إجراء عملية الاختراق بشكل أكثر مما هو ضروري لإثبات وجود الثغرات الأمنية.

الثغرات الأمنية الخارجة عن النطاق
 
عند الإبلاغ عن الثغرات الأمنية، يرجى مراعاة (1) سيناريو الهجوم / إمكانية الاستغلال و (2) التأثير الأمني للخلل. تعتبر الحالات التالية خارج النطاق:
  • تصيد الضغطات (النقرات) في الصفحات التي لا تحتوي على إجراءات حساسة 
  • العمليات غير المصدقة/ تسجيل الخروج/ تسجيل الدخول والوقوع في ثغرة CSRF
  • إعدادات ملفات تعريف الارتباط غير الآمنة على ملفات تعريف الارتباط غير الحساسة
  • الأخطاء التي تتطلب قدرًا هائلاً من تفاعل المستخدم أو معرفة مسبقة بأسرار المستخدم مثل الرموز المميزة للجلسة أو قيم ثغرة CSRF
  • المعلومات المتعلقة بإصدارات البرامج أو إصدارات خادم الموقع الالكتروني أو اللافتات الخاصة به، حيث لا يوجد دليل على أن هذه الإصدارات تتأثر بخلل أمني
  • هجوم الوسيط MITM أو الوصول الفعلي إلى جهاز المستخدم
  • المكتبات التي يعرف مسبقاً أنها معرضة للهجوم بدون إثبات مفهوم عملي
  • إدخال قيم مفصولة بفواصل (CSV) بدون الإشارة إلى الثغرة الأمنية
  • مشكلات SSL المعروفة
  • عدم تمكين ميزة السرية التامة لإعادة التوجيه SSL Forward Secrecy أو HSTS
  • ضعف مجموعات التشفير SSL / TLS
  • يجب تجنب الأدوات الآلية الشائعة بما في ذلك Acunetix و Nessus و Qualys وغيرها؛ ومع ذلك، يُسمح باستخدام Burp Suite والأدوات المخصصة الأخرى
  • أي نشاط قد يؤدي إلى تعطيل خدماتنا (DoS)
  • مشكلات انتحال المحتوى وإدخال النص دون إظهار ناقلات الهجوم أو بدون القدرة على تعديل HTML / CSS
  • يجب تجنب انتهاكات الخصوصية وتدمير البيانات وانقطاع أو تدهور خدماتنا
  • تحظر الهندسة الاجتماعية (مثل التصيد الاحتيالي والتصيد الصوتي والتصيد من خلال الرسائل القصيرة) 
  • يحظر اختبار الأمان المادي لخصائص الشايع
  • الكشف عن الثغرات الأمنية بدون إثبات عملي للمفهوم أو خطوات واضحة قابلة للتكرار
  • عمليات الاستحواذ على النطاق الفرعي بدون دليل كامل على المفهوم
  • الهجمات التي تتطلب الوصول إلى الشبكة الداخلية أو من قبل موظفي الشايع أو أصحاب العقود
  • الهجمات التي تتطلب وسيط MITM أو الوصول المادي إلى جهاز المستخدم
  • عدم توفر أفضل ممارسات البريد الإلكتروني (على سبيل المثال، أن تكون سجلات نظام التعرف على هوية المرسل (SPF) / DKIM / DMARC غير صالحة أو غير مكتملة أو مفقودة)
  • الثغرات التي تؤثر فقط على مستخدمي المتصفحات القديمة أو غير المصححة [أقل من إصدارين مستقرين خلف أحدث إصدار مستقر تم إصداره]
  • رؤوس الأمان مفقودة
  • ضعف البريد العشوائي، وانتحال البريد، وقنبلة البريد، وما إلى ذلك
  • الهجمة الذاتية XSS
بقبولك، فأنت تقر بأن مجموعة الشايع لا تتحمل المسؤولية عن موضوعية، صحة، اكتمال، أو جودة المعلومات المقدمة من قبل الباحثين.