Политика безопасности

Обеспечение безопасности и конфиденциальности пользовательской информации является нашим приоритетом, и мы приветствуем вклад внешних исследователей в области безопасности.

Область применения

Omnivore предоставляет множество услуг, но только сообщения об уязвимостях на следующих доменах подлежат вознаграждению. Домены, принадлежащие Omnivore, но не перечисленные ниже, не входят в область применения, не подлежат вознаграждению и не покрываются нашим правовым безопасным гаванью.

• omnivore.app
• demo.omnivore.app

Домены, не входящие в область применения:

• docs.omnivore.app
• blog.omnivore.app
• changes.omnivore.app

Следующие категории уязвимостей находятся за пределами нашей программы ответственного раскрытия и не подлежат вознаграждению:

• Отказ в обслуживании (DoS) или его распределенная версия (DDoS)
• Перечисление пользователей / электронных адресов
• Подбор паролей
• Спам, который можно предотвратить с помощью техник ограничения скорости
• Уязвимости, требующие большого числа взаимодействий пользователей, таких как социальная инженерия
• CSRF на публично доступных формах
• Отсутствие записей SPF / DKIM / DMARC
• Перенаправление с HTTP на HTTPS
• Ошибки в интерфейсе пользователя / UX или орфографические/грамматические ошибки
• Устаревшие веб-браузеры – уязвимости, зависящие от устаревших или несовместимых браузеров, не будут компенсироваться# Как подать отчет

Для подачи отчета об уязвимости в Omnivore Media, пожалуйста, свяжитесь с нами по адресу feedback@omnivore.app. Ваша заявка будет рассмотрена и проверена членом нашей команды безопасности.

Безопасная гавань

Omnivore Media поддерживает безопасную гавань для исследователей в области безопасности, которые:

• Делают добросовестные усилия, чтобы избежать нарушений конфиденциальности, уничтожения данных и нарушения или ухудшения наших услуг.
• Взаимодействуют только с аккаунтами, которыми вы владеете, или с явным разрешением владельца аккаунта. Если вы обнаруживаете персональные данные (PII), немедленно свяжитесь с нами, не продолжайте доступ, и немедленно удалите любую локальную информацию.
• Предоставляют нам разумное время для устранения уязвимостей до их раскрытия публике или третьим лицам.

Мы будем считать действия, соответствующие этой политике, "авторизованными" и не будем предпринимать гражданские действия или инициировать жалобы в правоохранительные органы. Мы окажем содействие в той мере, в которой сможем, если против вас будет инициировано правовое действие третьей стороной. Пожалуйста, отправьте нам отчет до начала действий, которые могут быть несовместимы с данной политикой или не упомянуты в ней.

Настройки- Пожалуйста, предоставьте подробные отчеты с воспроизводимыми шагами и четко определенным воздействием.

• Отправляйте одну уязвимость на каждый отчет.
• Социальная инженерия (например, фишинг, вишинг, смishing) запрещена.