Reklaam sulgub sekundi pärast

Liitu meelelahutusklubiga

Bug bounty / TV3 Grupi vastutustundliku avalikustamise programm

TV3 Grupp, sealhulgas TV Play Baltics, All Media Eesti, All Media Latvia, Star FM, All Media Lithuania, All Media Radijas, All Media Digital (edaspidi – TV3 või TV3 Grupp) haldab oma tegevuses tohutuid andmemahte ja süsteeme, mis neid andmeid töötleb. TV3 peab nende andmete turvalisust esmatähtsaks, mistõttu töötame pidevalt selle nimel, et tagada andmete ja süsteemide turvalisus. Vaatamata TV3 pidevatele jõupingutustele turvaaukude leidmisel ja parandamisel, mõistame, et meil võib mõni neist kahe silma vahele jääda, seega kutsume teid osalema TV3 vastutustundliku avalikustamise programmis, et aidata meil parandada andmete ja süsteemi turvariske. Olles avastanud TV3 veebisaitidel ja/või süsteemides turvaauke, teatage neist meile vastavalt käesolevale vastutustundliku avalikustamise programmile.

TV3 vastutustundliku avalikustamise programmis osalemine on vabatahtlik.

Teabe edastamine TV3 veebisaitidel ja süsteemides leitud haavatavuste kohta loetakse teie kinnituseks, et olete programmi tingimused läbi lugenud ja nendega nõustunud. Kui te ei järgi programmi tingimusi, võidakse teid selles osalemisest taandada.

Vastutustundliku avalikustamise põhimõtted

TV3 julgustab turvaaukude vastutustundlikku avalikustamist ja seetõttu ei võta ta mingeid õiguslikke meetmeid isikute vastu, kes avalikustavad turvaauke vastavalt vastutustundliku avalikustamise programmi tingimuste, seadusandlike nõuete ja allpool loetletud põhimõtete kohaselt:

  1. haavatavuse otsimise käigus ei tohi side- ja infosüsteemi tööd, funktsionaalsust, osutatavaid teenuseid ning andmete kättesaadavust või terviklikkust muuta ega häirida;
  2. turvaaukude otsimine lõpetatakse pärast haavatavuse olemasolus veendumist;
  3. pärast turvanõrkuste otsimist teavitab isik leitud turvaaukudest viivitamatult TV3 vastavalt vastutustundliku avalikustamise programmi tingimustele;
  4. TV3 andmeid ei tohi jälgida, salvestada, omandada, säilitada, pealt kuulata, kopeerida, muuta, avalikustada, hävitada, eemaldada ja/või rikkuda rohkem, kui see on turvanõrkuse kinnitamiseks vajalik;
  5. Isikuandmetega kokku puutumisel, peaks isik viivitamatult peatama oma tegevuse, kustutama oma tegevusega seotud andmed oma süsteemist ning võtma viivitamatult ühendust TV3-ga;
  6. turvaaukude otsimisel ei tohi püüda ära arvata paroole, kasutada volitamata vahenditega saadud paroole ega manipuleerida küberturbeüksuse töötajate või teiste isikutega, kellel on juurdepääs haavatavuste otsimiseks olulisele tundlikule teabele;
  7. teavet tuvastatud turvaaugu kohta ei tohi avaldada kolmandatele isikutele enne, kui sellest on teavitatud TV3 ja turvanõrkus on parandatud;
  8. keelatud on toimingu tegemine, mis võimaldaks toimingu tegijal või muul kolmandal isikul TV3 või tema klientide andmeid hävitada, säilitada, jagada või neile juurde pääseda;
  9. turvaaukude otsimisel ei tohi ette võtta TV3 kliente mõjutada võivaid toiminguid, nagu spämmimine, sotsiaalne manipuleerimine või pakutavate teenuste häirimine;
  10.  teha uurimistööd ainult allpool toodud mahus;
  11.  kasutama allpool nimetatud sidekanaleid, et teavitada meid haavatavust puudutavast teabest.

Kui te neid põhimõtteid ei järgi, võime teie IP-aadressi blokeerida ja võtta kasutusele muid õiguslikke meetmeid.

Programmis osalejad

Te ei saa vastutustundliku avalikustamise programmis osaleda, kui:

  • olete TV3 grupi ettevõtete või nende tütarettevõtete töötaja;
  • olete TV3 Grupi ettevõtete või nende tütarettevõtete töötaja lähedane pereliige (lapsed, abikaasa, vanemad, vanavanemad, õed-vennad, lapselapsed);
  • olete alla 18-aastane;
  • olete välised teenusepakkujad, kes töötavad TV3 veebilehtedega ja/või platvormidel, nende varasemad partnerid või nende lähedased pereliikmed.

Kui TV3 tuvastab, et te ei vasta ülaltoodud nõuetele, eemaldatakse teid TV3 vastutustundliku avalikustamise programmist ja te ei saa preemiat.

Programmi rakendusvaldkond

Kõik allpool loetletud domeenid ja alamdomeenid võivad olla turvaaukude otsingute objektiks.

Go3.tvPlay.tv3.ee
Go3.lvPlay.tv3.lv
Go3.ltPlay.tv3.lt
Tv3.ee
Tv3.lv
Tv3.lt
www.home3.ee
mans.go3.lv
mano.go3.lt
minu.go3.tv
minu.home3.ee
mans.home3.lv
mano.home3.lt

Ametlikes rakenduste poodides saadaval olevad TV3 rakendused (nt iseteenindusrakendused, Go3, jne) võivad samuti olla turvaaukude otsingute objektiks.

Näited mittekvalifitseeruvatest ja kvalifitseeruvatest haavatavustest

TV3 aktsepteerib kõiki teateid tuvastatud turvaaukude kohta, mis rikuvad TV3 süsteemide terviklikkust ja konfidentsiaalsust, kuid mitte kõik teatatud haavatavused ei pruugi teenida tasu. Järgmiste haavatavuste eest EI maksta tasu:

  • füüsilise testimise, näiteks kontorisse sisenemise (nt avatud uksed, tagaluuk) tulemused;
  • mis tahes andmete väljafiltreerimine, mis tahes tingimustel;
  • TV3 personali või mis tahes kolmandate isikute privaatsuse ja/või turvalisuse tahtlik ohustamine;
  • TV3 töötajate või TV3 grupi üksuste või kolmandate isikute intellektuaalomandi või muude äriliste või finantshuvide tahtlik ohustamine;
  • pettusega finantstehingute algatamine;
  • sotsiaalse manipuleerimise rünnakud töötajate ja klientide vastu, nt andmepüük, muud sotsiaalse manipuleerimise meetodid või mittetehnilised rünnakud;
  • kasutaja parooliga brute force rünnakud;
  • rämpspostitus (sh SPF/DKIM/DMARC);
  • teenuse tõkestamise (DoS) rünnakud;
  • turvalisusega mitteseotud probleemid, nt HTTP vastuse koodid, rakenduse või serveri vead jne;
  • probleemid, mis ei mõjuta selgelt turvalisust, nagu väljalogitud CSRF, puuduvad HTTP-turvapäised, SSL-i probleemid, paroolipoliitika probleemid või tundlike toiminguteta lehtede klõpsröövimine;
  • probleemid, mis mõjutavad vananenud rakendusi või komponente, mida enam ei kasutata ega hooldata;
  • kolmanda osapoole tarkvaraga seotud probleemid, nt meie kasutatavad kolmanda osapoole rakendused või teenused, välja arvatud juhul, kui need põhjustavad TV3 veebisaitidel haavatavust;
  • juba teadaolevad WordPressi vead, mis ootavad WordPressi poolelt parandamist;
  • probleemide eest, mis on seotud serveripoolse päringu võltsimisega (SSRF) aktiivseid päringuid teostavate teenuste puhul, välja arvatud juhul, kui see on seotud tundliku teabe avaldamisega;
  • kolmandate osapoolte turvanõrkused veebisaitidel, mis on integreeritud TV3 API-ga;
  • ebaturvalised küpsiste seaded;
  • probleemid, mis on seotud avalikult kättesaadava või ebaolulise teabe avaldamisega, nagu serveriteabe avaldamine (vastuste päised „X-Powered-by” ja „Server”);
  • turvaaugud, mis nõuavad äärmiselt ebatõenäolist kasutaja sekkumist;
  • aruanded ja teave, mida saab hankida privilegeeritud juurdepääsu kaudu sihtmärgi seadmetele või mis on väljaspool TV3 kontrolli. Nende hulka kuuluvad muu hulgas juurdepääs brauseri küpsistele ja/või muudele žetoonidele, mida kasutatakse kasutajana esinemiseks, kasutaja e-posti aadressile juurdepääsemiseks jne;
  • eelautentitud lehtedel esinevad klõpsuröövirünnakud või X-Frame-Options puudumine või muud mittekasutavad klõpsurööviga seotud probleemid;
  • haavatavuse hindamise automaatsete tööriistade (nt Nessus, nmap) skaneerimise tulemused.

Allpool loetletud haavatavuste eest võidakse maksta tasu:

  • päringuvõltsing (CSRF/XSRF);
  • õiguste vallutus;
  • autentimisest möödumine;
  • SSRF siseteenusele;
  • skriptisüst (XSS) (sh salvestatud/püsiv XSS);
  • tundliku teabe, sealhulgas kasutajate/klientide isikuandmete lekkimine või avalikustamine;
  • SQL-i süstid;
  • kontrollimata ümbersuunamised / “vahendusründaja” rünnakud;
  • alakaitstud API;
  • märkimisväärne turvaväärkonfiguratsioon koos kinnitatud haavatavusega;
  • koodi kaugkäitus;
  • muud kriitilised turvanõrkused, mis võivad põhjustada tõsist kahju.

TV3 jätab endale õiguse hinnata teatatud haavatavuse mõju ja raskust, samuti kontrollida, kas haavatavusest on varem teatatud.

Preemia ja selle suurus

Preemia suurus sõltub tuvastatud turvanõrkuse ulatusest. Mida olulisem on haavatavus, seda suurem on sellest teatamise eest makstav tasu. Turvaauke, mis võivad viia tundlike andmete avalikustamise ja rahalise kahjuni, peetakse olulisteks haavatavusteks.

Auhinda saab maksta vaid uute turvaaukude eest, millest TV3 pole varem teavitatud. Teavitused turvaaukude kohta peavad vastama programmi tingimustele.

Kui haavatavusest teatavad korraga kaks või enam inimest, jagatakse preemia nende vahel.

Preemia maksmise ja selle suuruse määrab TV3 enda äranägemisel. Maksed tehakse eurodes või TV3 teenuste soodusvautšerite abil.

Maksesumma määramisel võtab TV3 arvesse riski tõsidust ja haavatavuse mõju.

NOTA BENE: me ei saa premeerida sanktsioneeritud isikuid ega sanktsioonide nimekirjas olevate riikide kodanikke. Preemia saaja vastutab asjakohaste maksude tasumise eest, olenevalt riigist ja kodakondsusest. Teie riigi kohalikud seadused võivad ette näha täiendavaid piiranguid, mis võivad takistada teil programmis osalemist.

Turvahaavatavustest teatamise viisid

Kui arvate, et olete leidnud turvaaugu, teatage sellest meile aadressil:

[email protected]

Kasutage meile saadetud teabe konfidentsiaalsuse tagamiseks PGP-d:

Vastutustundlik avalikustamine <[email protected]>

PGP võtme ID: 0xC3ECBAD2CEB9021A

PGP sõrmejälg: 031B53FAFE66CFD309163469C3ECBAD2CEB9021A

PGP võti

Turvahaavatavuse kohta teavet esitades märkige ära järgmine.

  • haavatavuse üksikasjalik kirjeldus, sealhulgas selle kasutatavus ja mõju;
  • iga haavatavuse kasutatavuse taastootmiseks vajalik samm;
  • mõjutatud URL-id, rakendused (isegi kui andsite meile ka koodilõigu või video);
  • otsingus kasutatud IP-aadressid;
  • märkige alati POC-s kasutatav kasutajatunnus;
  • lisage alati kõik failid, mida olete proovinud üles laadida;
  • Edastage täielik POC;
  • salvestage kõik rünnakulogid ja lisage need teavitusele.

Teie teavitus TV3-le kinnitatakse 72 tunni jooksul. Esitatud teave kontrollitakse ja teiega võetakse ühendust 5 tööpäeva jooksul. Haavatavuse kõrvaldamiseks kuluv aeg sõltub selle keerukusest ja raskusastmest.

Konfidentsiaalsus

Kogu teave, mille saate, kogute või avastate TV3 Grupi, selle töötajate ja/või klientide kohta vastutustundliku avalikustamise programmis osalemise tulemusel, tuleb hoida konfidentsiaalsena ja seda kasutada vastutustundliku avalikustamise programmis osalemise eesmärgil. Te ei tohi sellist konfidentsiaalset teavet avaldada ilma meie eelneva kirjaliku nõusolekuta. Konfidentsiaalse teabe avaldamine, mis ei vasta eespool nimetatud tingimustele, võib kaasa tuua teie vastutustundliku avalikustamise programmist kõrvaldamise.

Esitatud teabe omandiõigus

Osaledes TV3 Grupi vastutustundliku avalikustamise programmis, annate TV3 grupi ettevõtetele ja nende tütarettevõtetele all-litsentsitava, mitteeksklusiivse, tasuta, tagasivõtmatu aja, territooriumi või ulatusega piiramatu kasutuslitsentsi reprodutseerimiseks, kohandamiseks, muutmiseks, avaldada, levitada, avalikult esitada, luua tuletatud teoseid, toota, kasutada, müüa, müügiks pakkuda ja importida teie esitatud teavet haavatavuse kohta, samuti mis tahes seotud materjali, mille esitasite TV3 grupile mis tahes eesmärgil.

Haavatavuse kohta teavet edastades garanteerite ja kinnitate, et teie esitatud teave on originaalne ning teil on täielikud õigused seda jagada ja TV3 grupi ettevõtetele ülaltoodud litsentsi anda.

Muudatused TV3 Grupi vastutustundliku avalikustamise programmis

Pärast TV3 Grupi vastutustundliku avalikustamise programmi tingimuste uuendamist teavitame teid olulistest muudatustest, postitades teate veebilehtedele tv3.ee, tv3.lv, tv3.lt, go3.tv, go3.lv , go3.lt, home3.ee. Sellegipoolest, et olla kursis programmi kehtiva versiooniga, peaksite perioodiliselt üle vaatama ja tutvuma omal algatusel veebisaidil avaldatud TV3 Grupi vastutustundliku avalikustamise programmi uusimat versiooni.

Värskendatud: 01.05.2023

Täname, et aitate hoida TV3 Grupi ja meie kasutajate turvalisust!

In english: Bug bounty / Responsible Disclosure Program of TV3 Group