Σχετικά με το πρόγραμμα αναφοράς ευπαθειών & υπολογιστικής ακρίβειας

Στην ΓεωΧώρα, η ασφάλεια των προϊόντων μας και η ακρίβεια των υπολογισμών μας αποτελούν βασικές προτεραιότητες.

Δίνουμε ιδιαίτερη σημασία:

  • στην ασφάλεια των συστημάτων και των λογισμικών μας
  • στην αξιοπιστία των μαθηματικών και επιστημονικών υπολογισμών
  • στην επιστημονική εγκυρότητα και ορθότητα των αποτελεσμάτων

Για τον λόγο αυτό, ενθαρρύνουμε ερευνητές ασφάλειας, επιστήμονες και χρήστες να μας αναφέρουν υπεύθυνα οποιαδήποτε πιθανή ευπάθεια ή σφάλμα που μπορεί να επηρεάζει είτε την ασφάλεια είτε την ακρίβεια των αποτελεσμάτων.

Η αναφορά σας βοηθάει να βελτιώνουμε συνεχώς τα προϊόντα μας, να διασφαλίζουμε την εμπιστοσύνη των χρηστών μας και να διατηρούμε υψηλά πρότυπα ποιότητας και ασφάλειας.

Πεδίο εφαρμογής & αντικείμενο αναφορών

Το πρόγραμμα αναφοράς ευπαθειών & υπολογιστικής ακρίβειας αφορά την αξιολόγηση της ασφάλειας, της ακρίβειας και της επιστημονικής εγκυρότητας των προϊόντων και υπηρεσιών μας. Ενθαρρύνουμε τους ερευνητές, επιστήμονες και χρήστες να αναφέρουν υπεύθυνα οποιαδήποτε πιθανή ευπάθεια ή σφάλμα που επηρεάζει ουσιαστικά την ασφάλεια ή τα αποτελέσματα των υπολογισμών μας.

Τι καλύπτει το πρόγραμμα

  • λογισμικά και εφαρμογές μας
  • επίσημες ιστοσελίδες
  • δημόσια και ιδιωτικά API
  • cloud υποδομές και server περιβάλλοντα
  • βάσεις δεδομένων και συστήματα επεξεργασίας δεδομένων

Τι δεν περιλαμβάνεται

  • υπηρεσίες ή πλατφόρμες τρίτων
  • δοκιμαστικά (demo) περιβάλλοντα χωρίς πραγματικά δεδομένα
  • περιβάλλοντα ανάπτυξης (development), εκτός αν αναφέρεται ρητά
  • δυστήματα που δεν διαχειριζόμαστε άμεσα
  • θέματα εμφάνισης (UI/CSS/layout) και προτάσεις βελτίωσης UX

Τι μας ενδιαφέρει να αναφέρετε

Θέματα ασφάλειας

  • SQL Injection, XSS, CSRF
  • παράκαμψη μηχανισμών αυθεντικοποίησης (Authentication Bypass)
  • διαρροή ή μη εξουσιοδοτημένη πρόσβαση σε δεδομένα
  • privilege escalation
  • ευπάθειες σε API
  • αδυναμίες σε κρυπτογράφηση
  • λάθη στη διαχείριση sessions ή tokens

Υπολογισμοί & ακρίβεια

  • λανθασμένα ή ελλιπή μαθηματικά / στατιστικά μοντέλα
  • λογικά σφάλματα σε αλγορίθμους
  • προβλήματα αριθμητικής σταθερότητας
  • σφάλματα στρογγυλοποίησης
  • λανθασμένες ή ασύμβατες μονάδες μέτρησης
  • ασυμφωνία θεωρητικού μοντέλου και υλοποίησης
  • σφάλματα σε scientific simulations ή numerical methods
  • μη αναπαραγώγιμα αποτελέσματα (lack of reproducibility)

Μη επιτρεπόμενες ενέργειες

Για να διασφαλίσουμε τη σωστή και υπεύθυνη συμμετοχή, οι ακόλουθες ενέργειες δεν επιτρέπονται:

  • DDoS / Stress testing
  • social Engineering
  • physical attacks
  • spam ή ανεπιθύμητη αλληλογραφία

Πώς να υποβάλετε ένα πρόβλημα

Για την αναφορά ευπαθειών ή σφαλμάτων υπολογιστικής ακρίβειας, παρακαλούμε επικοινωνήστε μαζί μας στο:

Email

bugbounty@geochora.gr

Για την ταχύτερη και αποτελεσματικότερη αξιολόγηση της αναφοράς σας, παρακαλούμε να συμπεριλάβετε τις ακόλουθες πληροφορίες:

Απαραίτητα στοιχεία αναφοράς
  • αναλυτική περιγραφή του προβλήματος
  • βήματα αναπαραγωγής (step-by-step)
  • screenshots ή video (αν υπάρχουν)
  • Proof of Concept (όπου είναι δυνατόν)
  • σχετική IP, URL ή endpoint
  • έκδοση λογισμικού/module
  • περιβάλλον χρήσης (OS, browser, hardware, configuration)
  • δεδομένα εισόδου ή παραδείγματα (όπου επιτρέπεται)
Προαιρετικές πληροφορίες
  • προτεινόμενη λύση ή workaround
  • εκτίμηση σοβαρότητας
  • πιθανό αντίκτυπο στους χρήστες

Πολιτικές & υπεύθυνη αναφορά

Χρόνος απόκρισης

Δεσμευόμαστε να επιβεβαιώνουμε την παραλαβή κάθε αναφοράς εντός 5 εργάσιμων ημερών και να σας ενημερώνουμε για την πρόοδο της αξιολόγησης.

Για σοβαρές αναφορές, παρέχουμε τακτικά updates μέχρι την επίλυση.

Εμπιστευτικότητα & υπεύθυνη αναφορά

Όλες οι αναφορές αντιμετωπίζονται εμπιστευτικά. Παρακαλούμε:

  • να μην δημοσιοποιείτε την ευπάθεια πριν ολοκληρωθεί η διερεύνηση και επιδιόρθωσή της
  • να μην επηρεάζονται πραγματικοί χρήστες
  • να μην τροποποιείτε ή διαγράφετε δεδομένα
  • να μην γίνεται εκμετάλλευση των ευπαθειών για προσωπικό όφελος
  • να τηρείται δεοντολογία έρευνας και βέλτιστες πρακτικές ασφαλείας

Δεσμευόμαστε ότι η αναφορά σας θα αξιολογηθεί με υπευθυνότητα και διαφάνεια.

Αμοιβές

Στη ΓεωΧώρα, θέλουμε να επιβραβεύουμε την υπεύθυνη αναφορά σημαντικών ευπαθειών και σφαλμάτων υπολογιστικής ακρίβειας.

Ανάλογα με τη σοβαρότητα και τον αντίκτυπο της αναφοράς, παρέχουμε:

  • χρηματική αμοιβή για ευπάθειες ασφαλείας
  • δωροεπιταγές / credits για προϊόντα και υπηρεσίες μας
  • δωρεάν ετήσια συνδρομή στο σχετικό λογισμικό για σημαντικά computational bugs
  • πρόσβαση σε premium modules και επιπλέον λειτουργικότητες
  • δημόσια αναγνώριση στο Hall of Fame (προαιρετικά)

Κριτήρια αξιολόγησης

Η ανταμοιβή καθορίζεται κατά περίπτωση, με βάση:

  • τη σοβαρότητα του προβλήματος
  • την πιθανότητα επίδρασης στους χρήστες
  • τον επιστημονικό / υπολογιστικό αντίκτυπο
  • την τεκμηρίωση και ποιότητα της αναφοράς (proof of concept, reproducibility)
Οι πλήρως τεκμηριωμένες αναφορές με proof of concept έχουν προτεραιότητα στην αξιολόγηση.
Διπλές ή επαναλαμβανόμενες αναφορές λαμβάνονται υπόψη μόνο για την πρώτη τεκμηριωμένη υποβολή.
Σοβαρές αναφορές με επιστημονικό αντίκτυπο ενδέχεται να αποφέρουν premium rewards πέρα από το Bug Bounty.

Μπορείτε να διαβάσετε αναλυτικά το σύστημα αξιολόγησης & βαθμολόγησης αναφορών εδώ.