Polityka ujawniania podatności

Niniejsze zasady ujawniania podatności dotyczą wszelkich luk w zabezpieczeniach, które chcesz nam zgłosić.
Zalecamy pełne zapoznanie się z niniejszą polityką ujawniania podatności w zabezpieczeniach przed rozpoczęciem poszukiwania podatności i zgłoszeniem i postępowanie zgodnie z nią.
Nie oferujemy programu typu bug bounty, ani nagród pieniężnych za ujawnienie danej podatności, a wnioski o honorarium nie będą rozpatrywane zgodnie z niniejszą Polityką ujawniania podatności.
Jeżeli jesteś pracownikiem lub doktorantem AGH, skontaktuj się z Centrum Bezpieczeństwa Informacji przed podejmowaniem jakichkolwiek akcji tutaj opisanych.

Wykrywanie podatności

Zachęcamy do zgłaszania wszelkich wykrytych nieprawidłowość, co pozwala nam zapewnić jak najwyższy poziom bezpieczeństwa naszych systemów i usług. 
Każdą wykrytą podatność prosimy zgłaszać do Centrum Bezpieczeństwa Informacji działającego przy AGH.
Wykryte podatności można zgłaszać na adres mailowy bezpieczenstwo@agh.edu.pl przy użyciu klucza PGP.

-----BEGIN PGP PUBLIC KEY BLOCK-----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=thFo
-----END PGP PUBLIC KEY BLOCK-----

Pobierz klucz PGP

Aby udowodnić wykrytą podatność, prosimy przynajmniej o:

  • wskazanie adresu IP, z którego zostało przeprowadzane badanie podatności, pozwoli to na skuteczną weryfikację logów,
  • opisanie możliwe szczegółowo sposób odkrycia błędu i kroków pozwalających do jego zreprodukowania, np. zrobienie zrzutów ekranu uzyskanego dostępu do systemu i, w miarę możliwości, dokumentujących poszczególne etapy ataku.

Zasady pracy z podatnościami

Oczekujemy od Ciebie:

  • Działania zgodnie z etyką i prawem – zgłoszenie wykrytej luki nie może być motywowane aspektami finansowymi, materialnymi oraz innymi, wymiernymi korzyściami. Uzyskany dostęp do pewnego obszaru infrastruktury lub systemu nie może służyć również do łamania prawa, w tym kradzieży danych.
  • Uszanowania prywatności użytkowników - prosimy o jak najszybszy kontakt w sytuacji, gdy wykryta luka bezpieczeństwa pozwala na dostęp lub modyfikację zasobów, których wykorzystanie może doprowadzić do naruszenia prywatności (w szczególności danych osobowych) użytkowników systemów lub innych osób, których dane są w nich przetwarzane. 
  • Współpracy –dołożymy wszelkich starań, aby wykryta podatność jak najszybciej została wyeliminowana. Być może będziemy potrzebować od Ciebie dodatkowych informacji, dlatego będziemy wdzięczni za możliwość dodatkowego kontaktu.

Zabrania się:

  • Łamania obowiązującego prawa.
  • Wykonywania modyfikacji lub działań skutkujących utratą lub wyciekiem danych w naszych systemach lub usługach.
  • Korzystania z inwazyjnego skanowania o wysokiej intensywności narzędziami do znajdowania luk w zabezpieczeniach lub w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów.
  • Wykorzystywania inżynierii społecznej (np. phishingu) lub fizycznych ataków na nasz personel czy infrastrukturę.
  • Wysyłania spamu.
  • Należy zawsze przestrzegać zasad ochrony danych, a także nie wolno naruszać prywatności użytkowników. Nie zgadzamy się, na przykład, na udostępnianie, redystrybuowanie lub przechowywanie bez właściwych zabezpieczeń danych z systemów lub usług, pobranych w wyniku ujawnienia podatności.

Co zrobimy po otrzymaniu zgłoszenia?

    • Potwierdzimy otrzymanie zgłoszenia w ciągu 7 dni kalendarzowych.
    • W razie potrzeby poprosimy o dodatkowe Informacje.
    • Po analizie i potwierdzeniu luk w zabezpieczeniach, skontaktujemy się z Tobą i poinformujemy, ile czasu zajmie naprawienie podatności. Naszym celem jest wykonanie tego w przeciągu 90 dni (a często nawet szybciej), aczkolwiek zależy to od stopnia złożoności podatności.
    • W razie potrzeby udostępnimy informację o wykrytej podatności do wiadomości publicznej, by inne podmioty miały świadomość tego typu luk w zabezpieczeniach i mogły właściwie zadziałać.
    • Skontaktujemy się z Tobą po naprawieniu zgłoszonej podatności.
    • Zrewidujemy błędy i uaktualnimy politykę bezpieczeństwa, by zapobiec występowaniu podobnych podatności w przyszłości.
    • Nie będziemy podejmować kroków prawnych przeciw Tobie za dostęp (lub próbę uzyskania dostępu) do naszych systemów, o ile przestrzegasz informacji zawartych w tej procedurze i nie powstały szkody związane z Twoim działaniem.
    • Traktujemy Twoje zgłoszenie oraz dane jako poufne i nie będziemy przekazywać go innym instytucjom bez Twojej zgody.

    Zakres polityki

    W zakres polityki wchodzi domena agh.edu.pl i jej poddomeny oraz zakresy adresów IP: 149.156.96.0/19 i 149.156.192.0/20.