Polityka ujawniania podatności

Niniejsze zasady ujawniania podatności dotyczą wszelkich luk w zabezpieczeniach, które chcesz nam zgłosić.

Zalecamy pełne zapoznanie się z niniejszą polityką ujawniania podatności w zabezpieczeniach przed rozpoczęciem poszukiwania podatności i zgłoszeniem i postępowanie zgodnie z nią.

Nie oferujemy programu typu bug bounty, ani nagród pieniężnych za ujawnienie danej podatności, a wnioski o honorarium nie będą rozpatrywane zgodnie z niniejszą Polityką ujawniania podatności.

Jeżeli jesteś pracownikiem lub doktorantem AGH, skontaktuj się z Samodzielną Sekcją Monitorowania Cyberbezpieczeństwa przed podejmowaniem jakichkolwiek akcji tutaj opisanych.

Wykrywanie podatności

Zachęcamy do zgłaszania wszelkich wykrytych nieprawidłowość, co pozwala nam zapewnić jak najwyższy poziom bezpieczeństwa naszych systemów i usług. 

Każdą wykrytą podatność prosimy zgłaszać do Samodzielnej Sekcji Monitorowania Bezpieczeństwa działającej przy AGH.

Wykryte podatności można zgłaszać na adres mailowy bezpieczenstwo@agh.edu.pl przy użyciu klucza PGP:   

-----BEGIN PGP PUBLIC KEY BLOCK-----
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=q1wx
-----END PGP PUBLIC KEY BLOCK-----

Aby udowodnić wykrytą podatność, prosimy o przynajmniej:

  • wskazanie adresu IP, z którego zostało przeprowadzane badanie podatności, pozwoli to na skuteczną weryfikację logów,
  • opisanie możliwe szczegółowo sposób odkrycia błędu i kroków pozwalających do jego zreprodukowania, np. zrobienie zrzutów ekranu uzyskanego dostępu do systemu i, w miarę możliwości, dokumentujących poszczególne etapy ataku

Zasady pracy z podatnościami

Oczekujemy od Ciebie:

  • Działania zgodnie z etyką i prawem – zgłoszenie wykrytej luki nie może być motywowane aspektami finansowymi, materialnymi oraz innymi, wymiernymi korzyściami. Uzyskany dostęp do pewnego obszaru infrastruktury lub systemu nie może służyć również do łamania prawa, w tym kradzieży danych.
  • Uszanowania prywatności użytkowników - prosimy o jak najszybszy kontakt w sytuacji, gdy wykryta luka bezpieczeństwa pozwala na dostęp lub modyfikację zasobów, których wykorzystanie może doprowadzić do naruszenia prywatności (w szczególności danych osobowych) użytkowników systemów lub innych osób, których dane są w nich przetwarzane. 
  • Współpracy –dołożymy wszelkich starań, aby wykryta podatność jak najszybciej została wyeliminowana. Być może będziemy potrzebować od Ciebie dodatkowych informacji, dlatego będziemy wdzięczni za możliwość dodatkowego kontaktu.

Zabrania się:

  • Łamania obowiązującego prawa.
  • Wykonywania modyfikacji lub działań skutkujących utratą lub wyciekiem danych w naszych systemach lub usługach.
  • Korzystania z inwazyjnego skanowania o wysokiej intensywności narzędziami do znajdowania luk w zabezpieczeniach lub w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów.
  • Wykorzystywania inżynierii społecznej (np. phishingu) lub fizycznych ataków na nasz personel czy infrastrukturę.
  • Wysyłania spamu.

Należy zawsze przestrzegać zasad ochrony danych, a także nie wolno naruszać prywatności użytkowników. Nie zgadzamy się, na przykład, na udostępnianie, redystrybuowanie lub przechowywanie bez właściwych zabezpieczeń danych z systemów lub usług, pobranych w wyniku ujawnienia podatności.

Co zrobimy?

Po otrzymaniu zgłoszenia:

  • Potwierdzimy otrzymanie zgłoszenia w ciągu 7 dni kalendarzowych.
  • W razie potrzeby poprosimy o dodatkowe Informacje.
  • Po analizie i potwierdzeniu luk w zabezpieczeniach, skontaktujemy się z Tobą i poinformujemy, ile czasu zajmie naprawienie podatności. Naszym celem jest wykonanie tego w przeciągu 90 dni (a często nawet szybciej), aczkolwiek zależy to od stopnia złożoności podatności.
  • W razie potrzeby udostępnimy informację o wykrytej podatności do wiadomości publicznej, by inne podmioty miały świadomość tego typu luk w zabezpieczeniach i mogły właściwie zadziałać.
  • Skontaktujemy się z Tobą po naprawieniu zgłoszonej podatności.
  • Zrewidujemy błędy i uaktualnimy politykę bezpieczeństwa, by zapobiec występowaniu podobnych podatności w przyszłości.
  • Nie będziemy podejmować kroków prawnych przeciw Tobie za dostęp (lub próbę uzyskania dostępu) do naszych systemów, o ile przestrzegasz informacji zawartych w tej procedurze i nie powstały szkody związane z Twoim działaniem.
  • Traktujemy Twoje zgłoszenie oraz dane jako poufne i nie będziemy przekazywać go innym instytucjom bez Twojej zgody.

Zakres polityki

W zakres polityki wchodzi domena agh.edu.pl i jej poddomeny oraz zakresy adresów IP: 149.156.96.0/19 i 149.156.192.0/20.