TV3 Grupas atbildīgas informācijas izpaušanas programma

(English)

Savas darbības ietvaros TV3 Group, tostarp TV Play Baltics, All Media Eesti, All Media Latvia, Star FM, All Media Lithuania, All Media Radijas, All Media Digital (tālāk tekstā – TV3 vai TV3 Group) apstrādā ļoti lielus datu apjomus un rīkojas ar sistēmām, kas šos datus apstrādā. TV3 ļoti nopietni uztver šo datu drošību, tādēļ mēs pastāvīgi strādājam pie šo datu un sistēmu drošības nodrošināšanas. Par spīti TV3 pastāvīgajiem centieniem identificēt un labot drošības ievainojamās vietas, mēs saprotam, ka varam kādu palaist garām, tādēļ aicinām jūs piedalīties TV3 Atbildīgās informācijas izpaušanas programmā un palīdzēt mums labot datu un sistēmu drošības riskus. Ja jūs konstatējat jebkādu drošības ievainojamību TV3interneta vietnēs un/vai sistēmās, lūdzam mums to paziņot saskaņā ar šo Atbildīgās informācijas izpaušanas programmu.

Dalība TV3 Atbildīgās informācijas izpaušanas programmā ir brīvprātīga.

Ja jūs sniedzat informāciju par ievainojamību, ko esat konstatējuši TV3 interneta vietnēs vai sistēmās, tas tiks uzskatīts par apstiprinājumu tam, kas esat izlasījuši un piekrituši šīs Programmas nosacījumiem. Ja jūs pārkāpjat šīs Programmas nosacījumus, mēs varam atsaukt jūsu dalību Programmā.

Atbildīgas informācijas izpaušanas principi

TV3 vēlas sekmēt drošības ievainojamības informācijas atbildīgu izpaušanu un līdz ar to neveiks nekādas tiesvedības darbības pret personām, kas izpauž drošības ievainojamību saskaņā ar Atbildīgās informācijas izpaušanas programmu, likuma prasībām un zemāk uzskaitītajiem principiem:

  1. ievainojamības meklēšanas procesa laikā nedrīkst modificēt vai traucēt sakaru un informācijas sistēmas darbību, funkcionalitāti, sniegtos pakalpojumus un datu pieejamību vai integritāti;
  2. drošības ievainojamības meklēšana ir jāpārtrauc, kad ir noskaidrots, ka ievainojamība pastāv;
  3. kad drošības ievainojamības meklēšana ir pabeigta, attiecīgajai personai irnekavējoties jāinformē TV3 par atrasto drošības ievainojamību saskaņā ar Atbildīgās informācijas izpaušanas programmas nosacījumiem;
  4. TV3 datus drīkst pārraudzīt, ierakstīt, iegūt, uzglabāt, pārtvert, kopēt, modificēt, izpaust, iznīcināt, izņemt un/vai kropļot tikai tādā apjomā, kāds ir nepieciešams, lai apstiprinātu drošības ievainojamības pastāvēšanu;
  5. ja meklēšanas procesa laikā persona sastopas ar Personas datiem, šī darbība ir nekavējoties jāpārtrauc, attiecīgie dati ir jādzēš no sistēmas un nekavējoties jāsazinās ar TV3;
  6. meklējot drošības ievainojamību, nedrīkst mēģināt uzminēt paroles, lietot paroles, kas iegūtas neatļautā veidā vai mēģināt manipulēt ar kiberdrošības organizācijas darbiniekiem vai citām personām, kas var piekļūt jutīgai informācijai, kas ir būtiska ievainojamības meklējumiem;
  7. informāciju par identificēto drošības ievainojamību nedrīkst izpaust trešajām pusēm pirms tā ir paziņota TV3, un pirms drošības ievainojamība ir labota (novērsta);
  8. aizliegts veikt jebkādas darbības, kas ļautu attiecīgajai personai vai jebkurai citai trešajai pusei iznīcināt, uzglabāt, koplietot TV3 vai tās klientu datus vaitiem piekļūt;
  9. meklējot drošības ievainojamību, nedrīkst veikt darbības, kas varētu ietekmēt TV3 klientus, piemēram, izplatīt surogātpastu, veikt sociālās inženierijas darbības vai traucēt pakalpojumu sniegšanai;
  10. izpēti drīkst veikt tikai zemāk definētajā apjomā;
  11. informācija par ievainojamību mums ir jāziņo, izmantojot identificētos sakaru kanālus.

Ja jūs pārkāpjat šos principus, mēs varam bloķēt jūsu IP adresi un veikt citastiesiskas darbības.

Programmas dalībnieki

Jūs nedrīkstat piedalīties Atbildīgās informācijas izpaušanas programmā, ja:

  • jūs esat TV3 Grupas uzņēmuma vai tā meitas uzņēmumu vai filiāļu darbinieks;
  • jūs esat TV3 Grupas uzņēmuma vai tā meitas uzņēmumu vai filiāļu darbinieka tuvs radinieks (bērni, laulātais, vecāki, vectēvi, māsas un brāļi, mazbērni);
  • jums nav pilni 18 gadi;
  • Ārējie pakalpojumu sniedzēji, kas strādā TV3 vietnēs un platformās, to iepriekšējie partneri vai tuvinieki.

Ja TV3 nosaka, ka jūs neatbilstat minētajām prasībām, jūs tiksiet izslēgts no TV3 Atbildīgās informācijas izpaušanas programmas un zaudēsiet tiesības saņemt atlīdzību.

Programmas piemērošanas joma

Drošības ievainojamības meklēšanu var veikt attiecībā uz visiem zemāk uzskaitītajiem domēniem un apakšdomēniem:

  • go3.tv
  • play.tv3.ee
  • go3.lv
  • play.tv3.lv
  • go3.lt
  • play.tv3.lt
  • tv3.ee
  • tv3.lv
  • tv3.lt
  • home3.ee
  • mans.go3.lv
  • mano.go3.lt
  • minu.go3.tv

Drošības ievainojamības meklēšanu var veikt arī attiecībā uz TV3 mobilajām lietotnēm, kas pieejamas oficiālajos lietotņu veikalos (piem., pašapkalpošanās lietotnes, Go3, utt.).

Piemēri ievainojamības veidiem, kas kvalificējas un nekvalificējas atlīdzības saņemšanai

TV3 pieņems visus ziņojumus par identificētu ievainojamību, kas apdraud TV3sistēmu integritāti un konfidencialitāti, tomēr ne visi ziņojumi par ievainojamību ir tiesīgi saņemt atlīdzību (balvu). Šāda veida ievainojamības NEDOD tiesības saņemt atlīdzību:

  • konstatācijas, kas iegūtas fiziskas testēšanas rezultātā, piemēram, piekļūstot birojam (piem., atvērtas durvis, izsekošana);
  • datu eksfiltrācija, jebkādā veidā;
  • apzināta TV3 personāla vai jebkuras trešās puses privātuma un/vai drošības apdraudēšana;
  • apzināta jebkura TV3 personāla vai TV3 Grupas organizāciju, vai jebkuru trešo pušu intelektuālā īpašuma vai citu komerciālo vai finansiālo interešu apdraudēšana;
  • krāpnieciska finanšu darījumu uzsākšana;
  • sociālās inženierijas uzbrukumi darbiniekiem un klientiem, piem., "pikšķerēšana" (phishing), citas sociālās inženierijas metodes vai uzbrukumi, kas nav tehniska rakstura;
  • pārlases (brute-force) uzbrukumi lietotāju parolēm;
  • surogātpasta izsūtīšana (tostarp SPF/DKIM/DMARC);
  • servisa atteikuma (Denial of Service, DoS) uzbrukumi;
  • problēmas, kas nav saistītas ar drošību, piemēram, HTTP atbildes kodi, lietotņu vai serveru kļūdas, utt.;
  • problēmas, kam nav skaidras ietekmes uz drošību, piemēram, atteikta CSRT, trūkstošas HTTP drošības galvenes, SSL problēmas, paroļu politikas problēmas, vai "clickjacking" problēmas lapās, kurās nav iespējams veikt jutīgas darbības;
  • problēmas, kas ietekmē lietotnes vai komponentus, kas ir novecojuši, vairs netiek lietoti vai uzturēti;
  • problēmas, kas saistītas ar trešo pušu programmatūru, piem., trešo pušu lietotnēm vai pakalpojumiem, ko mēs izmantojam (piem., SalesForce, Intercom, Omnisend,), izņemot gadījumus, kad šādas problēmas izraisa ievainojamību TV3 interneta vietnēs;
  • jau zināmas WordPress kļūdas, kuras gaida, kad tās novērsīs WordPress izstrādātāji.
  • problēmas, kas saistītas ar servera pusē veiktu pieprasījumu viltošanu (server-side request forgery, SSRF) servisiem, kas izpilda aktīvus pieprasījumus, izņemot gadījumus, kad tas saistīts ar jutīgas informācijas izpaušanu;
  • trešo pušu drošības ievainojamība interneta vietnēs, kas ir integrētas ar TV3 API;
  • nedroši sīkfailu iestatījumi;
  • problēmas, kas saistītas ar publiski pieejamas vai nesvarīgas informācijas izpaušanu, piemēram, servera informācijas izpaušanu (atbildes galvenes "X-Powered-by" un "Server");
  • ievainojamība, kuras aktivizēšanai nepieciešamas lietotāja darbības, kas ir ļoti maz iespējamas;
  • ziņojumi un informācija, ko iespējams iegūt, izmantojot priviliģētu piekļuvi mērķa ierīcēm, vai kas atrodas ārpus TV3 kontroles. Tas, cita starpā, ietverpiekļuvi pārlūka sīkfailiem un/vai citiem žetoniem, ko var izmantot, lai izliktos par kādu lietotāju, piekļūtu lietotāja e-pasta adresei, utt.;
  • "clickjacking" uzbrukumi, kas noris iepriekš autentificētās lapās, vai X-Frame-Options trūkums, vai jebkādas citas "clickjacking" problēmas, ko nav iespējams ļaunprātīgi izmantot;
  • ievainojamības novērtēšanas automātisko rīku (piem., Nessus, nmap) skenēšanas rezultāti.

Atlīdzību (balvu) iespējams saņemt par zemāk uzskaitītajiem ievainojamības veidiem:

  • Starpvietņu pieprasījumu viltošana (Cross Site Request Forgery, CSRF/XSRF);
  • Privilēģiju eskalācija;
  • Autentifikācijas apiešana;
  • SSRF uz iekšēju pakalpojumu;
  • Starpvietņu skriptošana (Cross-site scripting, XSS) (tostarpuzglabāta/persistenta XSS);
  • Jutīgas informācijas, tostarp lietotāju/klientu personas datu noplūdināšana vai izpaušana;
  • SQL injekcijas;
  • Nepārbaudīta novirzīšana (redirect) / "Man in the Middle" tipa uzbrukumi;
  • Nepietiekami aizsargāts API;
  • Būtiska nepareiza drošības konfigurācija ar apstiprinātu ievainojamību;
  • Attālas koda (programmas) izpildīšana;
  • Cita kritiska drošības ievainojamība, kas var izraisīt nopietnu kaitējumu.

TV3 patur sev tiesības novērtēt ziņotās ievainojamības iespaidu un nopietnību, kā arī pārbaudīt, vai par attiecīgo ievainojamību jau ir ziņots iepriekš.

Atlīdzība un tās apjoms

Atlīdzības apjoms ir atkarīgs no atrastās drošības ievainojamības mēroga. Jo nopietnāka ievainojamība, jo lielāka atlīdzība tiek izmaksāta par tās atrašanu un ziņošanu. Par nopietnu ievainojamību tiek uzskatīta tāda ievainojamība, kuras rezultātā varētu tikt izpausti jutīgi dati un tikt ciesti finansiāli zaudējumi.

Atlīdzību var izmaksāt tikai par jaunatrastu drošības ievainojamību, kas TV3 iepriekš nav ziņota. Ziņojumiem par drošības ievainojamību ir jāatbilst Programmas nosacījumiem.

Ja vienlaicīgi par kādu ievainojamību ziņo divi vai vairāk cilvēki, atlīdzība tiek sadalītato starpā.

Par atlīdzības izmaksāšanu un summu lemj TV3 pēc saviem ieskatiem. Maksājumi tiks izmaksāti eiro valūtā, vai arī sniedzot atlaides kuponus pirkumiem TV3 tiešsaistes veikalā.

Nosakot maksājuma summu, TV3 izskatīs riska nopietnību un ievainojamības iespaidu.

SVARĪGA PIEZĪME: mēs nevaram izmaksāt atlīdzību personām, uz kurām attiecas sankcijas, vai personām, kas ir pilsoņi valstīs, kas ietvertas sankciju sarakstos (Kuba, Irāna, Ziemeļkoreja, Sudāna, Sīrija). Jūs personīgi atbildat par jebkādu nodokļu samaksāšanu, atkarībā no jūsu valsts un nacionalitātes. Jūsu valsts vietējie likumi var noteikt papildu ierobežojumus, kas varētu liegt jums piedalīties Programmā.

Veidi, kā ziņot par drošības ievainojamību

Ja uzskatāt, ka esat atraduši drošības ievainojamību, ziņojiet par to mums uz adresi: [email protected]

Lūdzam izmantot PGP, lai nodrošinātu mums nosūtītās informācijas konfidencialitāti:

Atbildīga informācijas izpaušana (Responsible Disclosure) <[email protected]>
PGP atslēgas id: 0x11F373C8B5A2CC4E
PGP pirkstu nospiedums: 031B53FAFE66CFD309163469C3ECBAD2CEB9021A
PGP atslēga

Sniedzot informāciju par drošības ievainojamību, lūdzam ietvert šādu informāciju:

  • detalizēts ievainojamības apraksts, tostarp aprakstot tās ļaunprātīgas izmantošanas iespējas un iespaidu;
  • visi soļi, kas nepieciešami, lai atkārtotu ievainojamības ļaunprātīgas izmantošanas scenāriju;
  • ietekmētās URL adreses, lietotnes (arī tad, ja mums sniedzat programmas koda fragmentu vai video);
  • IP adreses, kas tika izmantotas meklēšanā;
  • obligāti norādiet lietotāja ID, kas tika izmantots POC;
  • obligāti ietveriet visus failus, ko mēģinājāt augšupielādēt;
  • sniedziet pilnu POC ("proof of concept");
  • saglabājiet visus uzbrukuma žurnālus un pievienojiet tos savam ziņojumam.

Jūsu ziņojums tiks izskatīts 7 dienu laikā. Iesniegto informāciju pārbaudīsim un ar jums sazināsimies 30 dienu laikā. Ievainojamības atrisināšanas laiks ir atkarīgs no tās sarežģītības pakāpes un nopietnības.

Konfidencialitāte

Jebkāda informācija, ko jūs saņemat, ievācat vai atklājat par TV3 Grupu, tās darbiniekiem un/vai klientiem, piedaloties Atbildīgas informācijas izpaušanas programmā, ir konfidenciāla, un to drīkst lietot tikai mērķiem, kas saistīti ar dalību Atbildīgas informācijas izpaušanas programmā. Jūs nedrīkstat izpaust šādu konfidenciālu informāciju bez mūsu rakstiskas iepriekšējas atļaujas. Jebkāda konfidenciālās informācijas izpaušana, kas pārkāpj šo prasību, var izraisīt jūsu izslēgšanu no Atbildīgas informācijas izpaušanas programmas.

Sniegtās informācijas īpašumtiesības

Piedaloties TV3 Grupas Atbildīgās informācijas izpaušanas programmā, jūs sniedzat TV3 Grupas uzņēmumiem un to meitas uzņēmumiem un filiālēm ne-ekskluzīvu, bezmaksas, neatsaucamu lietošanas licenci (ar tālākas licencēšanas iespēju), bez ierobežojumiem laika, teritorijas vai apjoma ziņā, ar pilnvarām reproducēt, pielāgot, modificēt, publicēt, izplatīt, publiski pasniegt, producēt, lietot, pārdod, piedāvātpārdošanai un importēt jūsu sniegto informāciju par ievainojamību (kā arī radīt no šīs informācijas atvasinātus darbus), kā arī jebkādus citus saistītos materiālus, ko jūssniedzat TV3Grupai, jebkādam mērķim.

Sniedzot informāciju par ievainojamību, jūs garantējat un deklarējat, ja sniegtā informācija ir oriģināla un ka jums ir pilnas tiesības to izpaust un sniegt TV3 Grupa suzņēmumiem kopā ar augstāk aprakstīto licenci.

Grozījumi TV3 Grupas Atbildīgās informācijas izpaušanas programmai

Kad mēs atjaunināsim TV3 Grupas Atbildīgās informācijas izpaušanas programmas nosacījumus, mēs informēsim jūs par jebkādām veiktajām būtiskām izmaiņām, publicējot paziņojumu interneta vietnēs tv3.ee, tv3.lv, tv3.lt, go3.tv, go3.lv, go3.lt, home3.ee. Tomēr, lai iepazītos ar jaunāko Programmas versiju, jums vajadzētu patstāvīgi periodiski izskatīt jaunāko TV3 Grupas Atbildīgās informācijas izpaušanas programmas versiju, kas publicēta interneta vietnē.

Pateicamies par jūsu palīdzību TV3 Grupas un mūsu lietotāju drošības nodrošināšanā!