طرح تشویقی گزارش باگ

ما پژوهشگران امنیتی‌ای که با گزارش آسیب‌پذیری‌های سرویس‌ها، ما را در حفظ امنیت خرید و اطلاعات کاربران یاری کنند، به رسمیت شناخته و آن‌ها را پاداش می‌دهیم. پاداش‌های پولی برای چنین گزارش‌هایی کاملا با نظر کافه بازار و با توجه به میزان خطر، تاثیرگذاری و عوامل دیگر تعیین می‌شوند. برای واجد شرایط بودن پاداش، ابتدا لازم است نیاز‌های زیر برآورده شوند:

  • رعایت خط مشی افشای مسئولانهٔ کافه بازار (پایین را ببینید)
  • یک مشکل امنیتی از سوی شما گزارش شود: به این معنی که یک آسیب‌پذیری در سرویس‌ها یا زیرساخت ما را یافته باشید که خطر امنیتی یا تهدیدی برای حریم شخصی ایجاد کند. (توجه کنید که میزان خطر مورد را کافه بازار تعیین می‌کند و اینکه همهٔ باگ‌های نرم‌افزاری لزوما مشکل امنیتی نیستند)
  • گزارش شما می‌بایست مشکلی را در محصولات و سرویس‌های تعریف شده در محدودهٔ طرح تشویقی گزارش باگ مطرح کرده باشد.
  • اگر به صورت غیر عمدی باعث شکستن حریم شخصی یا ایجاد خلل در اطلاعات دیگران شده‌اید (اعم از دسترسی به اطلاعات کاربری، پیکربندی سرویس‌ها و هرگونه اطلاعات محرمانهٔ دیگر)، حتما آن را در گزارش خود مشخص کنید.

در مقابل، ما از دستورالعمل زیر در ارزیابی گزارش‌ها پیروی خواهیم کرد:

  • ما تمام گزارش‌ها را بررسی کرده و به آن‌ها پاسخ می‌دهیم. با توجه به حجم گزارش‌های دریافتی، ارزیابی‌ها بر اساس میزان خطر و دیگر عوامل اولویت‌بندی می‌شوند، و ممکن است پاسخ‌دهی به شما زمان‌بر باشد.
  • ما میزان پاداش را بر اساس عوامل مختلفی شامل (اما نه محدود به) تاثیر‌گذاری مشکل، سهولت سوءاستفاده و کیفیت گزارش تعیین می‌کنیم. توجه کنید که موارد بسیار کم‌خطر ممکن است پاداشی دریافت نکنند.
  • ما سعی می‌کنیم در موارد مشابه، میزان مشابهی پاداش دهیم، اما ممکن است میزان پاداش و ارزیابی موارد در طی زمان تغییر کند. 
  • در مواردی که یک مشکل بیش از یک‌بار گزارش شده باشد، پاداش به اولین نفری که گزارش را ثبت کرده باشد تعلق می‌گیرد (موارد تکراری را کافه بازار تشخیص می‌دهد و ممکن است جزئیات گزارش دیگر را با شما در میان نگذارد).

محدودهٔ طرح تشویقی گزارش باگ در این زمان:

  • پرداخت کافه بازار
  • حساب کاربری کافه بازار
  • صفحهٔ اول وب‌سایت و اپ کافه بازار

خط مشی افشای مسئولانه

در صورت رعایت موارد زیر در رابطه با گزارش یک مشکل یا آسیب‌پذیری امنیتی به کافه بازار، ما در پاسخ به گزارش شما، از دادخواست و درخواست پیگرد قانونی خودداری می‌کنیم.

  • قبل از زمان معقولی برای بررسی و حل مشکل گزارش شده، هیچگونه اطلاعاتی در مورد مشکل را عمومی نکرده و با دیگران به اشتراک نگذارید.
  • هیچگونه تعاملی با حساب کاربری افراد در کافه بازار، بدون رضایت آنها انجام ندهید.
  • از شکستن حریم شخصی افراد و ایجاد خلل در اطلاعات دیگران اجتناب کنید.
  • از مشکلات امنیتی‌ای که یافته‌اید، به هیچ عنوان، بهره‌برداری و سوءاستفاده نکنید.
  • هیچ‌یک از موازین قانونی کشور را زیر پا نگذاشته باشید.

نحوهٔ ارسال گزارش

لطفاً گزارش خود را به ایمیل whitehat@cafebazaar.ir ارسال کنید. در گزارشتان محدوده‌های مورد تأثیر و همچنین سناریوی بازسازی گزارش را گام به گام بنویسید. چنانچه می‌خواهید دو ایراد مختلف را گزارش دهید، لطفاً هر گزارش را جداگانه ارسال کنید.