برنامج مكافأة اكتشاف الثغرات
تتطلّع ايرثلنك للتعاون مع مجتمع الأمن الإلكتروني لتحديد الثغرات الأمنية؛ وذلك للإبقاء على عملنا وزبائننا مؤمّنين إلكترونيًا.
المكافآت
ترتكز مكافآتنا على تقييم (CVSS) علمًا أن هذه إرشادات عامة والمكافآت تُحددها ايرثلنك حسب تقديرها للثغرة وأهمية النظام أو المعلومات المتأثرة.
Critical
$2000
High
$1000
Medium
$500
Low
$250
سياسة الإبلاغ والشفافية
- إعلامنا بجميع المشاكل الأمنية المحتملة حالما يتم اكتشافها.
احترام الخصوصية وبذل جهد حقيقي في الحفاظ على بيانات المستخدم من التخريب، وحفظ حقه في الوصول لها.
- التحلّي بالصبر وبذل جهد حقيقي في الإجابة على جميع أسئلة ايرثلنك وتوضيح استفساراتها.
- الامتناع عن إلحاق الأذى والعمل لأجل المصلحة العامة من خلال الإبلاغ عن جميع الثغرات المُكتشفة.
توخي الحذر خلال قيامك بالبحث، إذا كنت تظن أن الفحص الذي ستقوم به يمكن أن يكون له تأثير كبير على الخدمة أو المعلومات (المعلومات ممكن أن يتم تخريبها أو تدمر بشكل كامل)؛ لذا لابد من إعلام فريق أمن المعلومات في ايرثلنك مسبقًا والعمل معهم للحصول على الموافقات المطلوبة للحد من أي احتمالات تخريبية مستقبلية.
شروط البرنامج
- تضمين تقرير مفصّل مع خطوات قابلة لإعادة التوليد; لن يتم مكافأة أيّة مشكلة ما لم يكون التقرير المقدم عنها مفصّلًا بشكل يسمح بإعادة توليد; المشكلة.
- تقديم ثغرة واحدة في كل تقرير، ما لم يتطلّب الأمر استخدام اكثر من ثغرة بشكل متصل للحصول على أكبر تأثير لهذه الثغرات.
- عند حدوث تكرار في التقارير والثغرات المقدمة، يتم مكافأة التقرير الأول فقط (شرط أن يكون قابل لإعادة التوليد بشكل كامل ومطابق لباقي الشروط).
- يتم مكافأة الثغرات المتعددة التي يكون سببها الرئيس واحد، بمكافأة واحدة فقط.
- التعامل بالحسابات التي تعود ملكيتها لك أو التي تمتلك إذن دخولها من صاحبها.
الثغرات المشمولة في البرنامج
- Remote Code Execution
- SQL Injection
- Unrestricted File System Access
- Significant Authentication / Authorization Bypass
- Cross-Site Scripting XSS لا تتضمن self-XSS.
- Cross-Site Request Forgery العمليات الحرجة مثل (تغييرusername/password).
- أية ثغرة ذات تأثير على مشتركينا والخدمات المقدمة لهم.
هجمات DoS.
الثغرات الخارجة عن البرنامج
- هجمات الـ CSRF الموجهة على Forms متوفرة بشكل عام ولمستخدمين لم يقوموا بتسجيل دخول.
- Self-XSS أو ثغرات XSS التي تحتاج تفاعل غير معقول من المستخدم.
- Missing HTTP security headers وبالأخص: Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, and Content-Security-Policy.
- الثغرات التي تخص مستخدمي المتصفحات والنظم القديمة ومنتهية الدعم.
- تقارير عن الخداع (spam) أو التصيد (phishing) أو عن أفضل الممارسات الأمنية.
- Tabnabbing
-
مشاكل الإعدادات في نظام البريد الإلكتروني، مثل (SPF, DKIM, DMARC).
- Weak Captcha / Captcha Bypass
- Forced Login / Logout CSRF
-
هجمات DDoS.
-
نشر البرامج الخبيثة والفيروسات (malware/virus) داخل شبكتنا.
الهندسة الاجتماعية (Social engineering) مثل (phishing, vishing, smishing).