Odgovorno prijavljivanje bezbednosnih propusta

Vulnerability Disclosure Policy

Bezbednost mreže i privatnost korisnika su temelj na kom gradimo BrzNet. Iako naš tim kontinuirano unapređuje sigurnost naših sistema, svesni smo da su bezbednosni propusti uvek mogući u kompleksnim mrežnim okruženjima.

Izuzetno cenimo rad nezavisnih istraživača i etičkih hakera. Pozivamo vas da sarađujete sa nama. Ukoliko pronađete ranjivost u našoj infrastrukturi, ohrabrujemo vas da nam je prijavite kako bismo je otklonili pre nego što bude zloupotrebljena, i time zajedno zaštitili krajnje korisnike.

Pravna zaštita (Safe Harbor)

Želimo da istražujete bez straha od pravnih posledica. Ukoliko se pridržavate pravila izloženih na ovoj stranici i delujete u dobroj nameri, BrzNet vas neće smatrati pretnjom. Nećemo podneti krivične prijave, pokretati parnice niti tražiti istragu nadležnih organa protiv vas. Vaš trud posmatramo kao direktan doprinos našoj bezbednosti, a ne kao napad.

Pravila angažovanja

Kako bismo osigurali bezbedan proces za obe strane, molimo vas da se striktno pridržavate sledećih pravila:

  • Testirajte isključivo sisteme koji su u našem vlasništvu (BrzNet). Telekom Srbija infrastruktura na koju se oslanjamo kao bitstream provider nije predmet ovog programa.
  • Ne preduzimajte akcije koje će ugroziti rad mreže ili degradirati uslugu našim korisnicima (zabranjeni su DoS/DDoS napadi).
  • Ne pristupajte, ne menjajte i ne brišite podatke naših korisnika. Ukoliko ranjivost omogućava pristup podacima, demonstrirajte je na sopstvenom test nalogu koji možete zatražiti od nas.
  • Zadržite detalje o propustu u tajnosti i dajte nam razumno vreme da implementiramo zakrpu pre nego što informaciju objavite javno.
  • Socijalni inženjering, phishing zaposlenih i fizički napadi na našu poslovnicu ili opremu su strogo zabranjeni.

Opseg testiranja

Cenimo prijave koje se odnose na:

  • BrzNet web sajt i self-care portal
  • CRM i prateći API endpoints
  • Firmware korisničkih rutera
  • IP Core, provisioning i mrežna infrastruktura

Zahvalnost

U ovom trenutku nemamo definisan budžet niti formalizovan "bug bounty" program sa unapred utvrđenim finansijskim kompenzacijama.

Međutim, trudimo se da budemo izuzetno korektni prema istraživačima. Veoma cenimo vaše vreme i stručnost. Uvek ćemo naći način da adekvatno iskažemo zahvalnost za validne i ozbiljne prijave koje direktno štite našu mrežu i korisnike.

Kako da prijavite propust

Izveštaje šaljite na email adresu: info@brznet.rs

U prijavi navedite:

  • Opis ranjivosti i potencijalni uticaj na sistem.
  • Jasne korake za reprodukciju (Proof of Concept, skripte, HTTP request/response logove).
  • IP adrese sa kojih ste vršili testiranje (radi razlikovanja od malicioznog saobraćaja).

Naš tim će potvrditi prijem vaše prijave u najkraćem mogućem roku, držati vas u toku tokom procesa analize i obavestiti vas kada propust bude uspešno otklonjen.