INMAGINE Security Disclosure Policy

Nous attachons de l'importance à la sécurité de nos systèmes ainsi qu'à celle de nos utilisateurs, contributeurs, clients et consommateurs. La divulgation des vulnérabilités de sécurité nous aide à assurer la sécurité et la confidentialité de nos utilisateurs.

Directives

Si vous rencontrez des problèmes de sécurité lorsque vous visitez notre site web, les chercheurs en sécurité sont requis de:
  • Eviter les violations de la vie privée, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction des données lors des tests de sécurité;
  • Utiliser les canaux de communication identifiés pour nous communiquer des informations sur la vulnérabilité; et de
  • Garder les informations des vulnérabilités que vous avez identifiées confidentielles entre vous et INMAGINE jusqu'à ce que nous ayons eu [90] jours pour résoudre le problème.

Confidentialité

Toute information que vous avez trouvée ou collectée sur INMAGINE ou tout utilisateur d'INMAGINE par le biais des bugs de sécurité doit rester confidentielle et ne peux être utilisée qu'en relation avec nous. L'accès aux informations privées des utilisateurs, l'exécution d'actions qui peuvent affecter négativement les utilisateurs d'INMAGINE sont strictement interdites. Vous ne pouvez pas utiliser, divulguer ou distribuer de telles informations confidentielles, y compris, mais sans s'y limiter, toute information concernant votre soumission et les informations que vous obtenez lors de la recherche sur les sites INMAGINE, sans le consentement écrit préalable d'INMAGINE.

Dans l'intérêt de la sécurité de nos utilisateurs et de notre personnel, nous vous prions de vous abstenir et d'éviter:
  • Le spamming.
  • L'ingénierie sociale (y compris le phishing) du personnel d'INMAGINE ou des entrepreneurs ou clients.
  • Toute tentative physique contre la propriété ou les centres de données d'INMAGINE.
  • Le cryptomining.
  • L'accès ou la tentative d'accès à des données ou des informations qui ne vous appartiennent pas.
  • Détruire ou corrompre, ou tenter de détruire ou de corrompre, des données ou des informations qui ne vous appartiennent pas.
  • Causer ou tenter de causer un déni de service (DoS/DDoS).

Si vous suivez ces directives et nous en informez immédiatement, nous nous engageons à:
  • Ne pas envisager de poursuites judiciaires à l'encontre des chercheurs en sécurité qui tentent de trouver des vulnérabilités dans nos systèmes et qui adhèrent à cette politique.

Comment signaler une vulnérabilité de sécurité?

Nous pensons que toute technologie contient des bugs et que le public joue un rôle crucial dans l'identification de ces bugs. Si vous pensez avoir trouvé une faille de sécurité dans l'un de nos produits ou l'une de nos plateformes, veuillez nous en informer immédiatement en envoyant un mail à patrick@123rf.com. Veuillez inclure les détails suivants dans votre rapport:
  • Description de la localisation et de l'impact potentiel de la vulnérabilité;
  • Une description détaillée des étapes nécessaires pour reproduire la vulnérabilité (les scripts POC, les captures d'écran et les captures d'écran compressées nous sont tous utiles); et
  • Votre nom/pseudonyme

Éligibilité

Nous acceptons les rapports basés sur une gravité non inférieure à 6 par CVSS 3.1. La gravité finale peut être ajustée pour refléter l'impact de la vulnérabilité signalée sur nos domaines.

Pour en savoir plus sur la notation CVSS 3.1: https://www.first.org/cvss/calculator/3.1


Champ d'application

*.123rf.com

*.pixlr.com

*.designs.ai


Hors champ d'application

Lorsque vous signalez des vulnérabilités, vous devez tenir compte du scénario d'attaque / de l'exploitabilité, et de l'impact du bug sur la sécurité. Les problèmes suivants sont considérés comme hors du champ d'application de ce programme, et nous n'accepterons aucun des types d'attaques suivants:
  • Attaques par déni de service
  • Spam, ingénierie sociale ou techniques d'hameçonnage par courrier électronique (par exemple, phishing, vishing, smishing)
  • Usurpation d'adresse électronique
  • Toute faille de sécurité du côté client (par exemple, les navigateurs, les plugins)
  • Divulgation de la version du logiciel
  • Téléchargement du fichier réfléchi
  • Tout problème d'accès physique
  • Pages accessibles au public
  • Toute faiblesse ou divulgation d'informations qui n'entraîne pas une vulnérabilité directe
  • Recensement des courriers électroniques ou des comptes
  • Exécution du commandement CSV et faiblesses du CSP
  • Les vulnérabilités des applications ou des sites web tiers ne relèvent généralement pas de notre programme.

Modifications des conditions

Inmagine se réserve le droit de modifier ou d'annuler ce programme Bug Bounty et ses politiques à tout moment, sans préavis.

En conséquence, Inmagine peut modifier ces conditions et/ou ses politiques à tout moment en publiant une version révisée sur le site Web d'Inmagine. Vous acceptez les conditions modifiées si vous continuez à participer au Bug Bounty Program après que des changements aient été apportés aux conditions.