مهم

سیاست افشای آسیب‌پذیری

دریابید که کدام سیستم‌ها و انواع تحقیق تحت پوشش هستند

 

هدف از این سیاست، ارائه دستورالعمل‌های روشن به محققان امنیتی مجاز برای انجام فعالیت‌های کشف آسیب‌پذیری و نیز اعلام اولویت‌های Pacific Gas & Electric Company ("PGE") در نحوه ارائه آسیب‌پذیری‌های کشف شده به ما است.

 

این سیاست توضیح می‌دهد که کدام سیستم‌ها و انواع تحقیق  تحت پوشش این سیاست هستند، چگونه باید گزارش‌های آسیب‌پذیری را برای ما ارسال شوند، و از محققان امنیتی می‌خواهیم که قبل از افشای عمومی آسیب‌پذیری‌ها تا چه مدت صبر کنند.

 

از شما می‌خواهیم که با ما تماس بگیرید و طبق پروتکل‌های زیر آسیب‌پذیری‌های بالقوه در سیستم ما را گزارش دهید.

 

مجوز

اگر تشخیص دهیم که شما در طول تحقیق امنیتی خود با حسن نیت تلاش کرده‌اید این سیاست را رعایت کنید، تحقیق امنیتی شما را مجاز خواهیم شمرد، با شما همکاری خواهیم کرد تا این مسئله را به سرعت درک و حل و فصل کنید، وPG&E اقدام قانونی را در مقابل تحقیقات امنیتی شما که مطابق با این سیاست انجام شده است، توصیه نخواهد کرد. طبق معمول، از شما انتظار می‌رود که تمام قوانین حاکم را رعایت کنید.



دستورالعمل‌ها

طبق این سیاست، "تحقیق" به فعالیت‌هایی گفته می‌شود که در آن شما:

 

  • بعد از کشف یک مسئله امنیتی واقعی یا احتمالی هر چه سریعتر ما را مطلع می‌کنید.
  • تمام تلاش خود را به کار می‌گیرید تا از نقض یا افشای حریم خصوصی، تخریب تجربه کاربر، اختلال در سیستم‌های تولید، یا تخریب یا دستکاری داده خودداری کنید.
  • فقط به مقداری که برای تایید وجود آسیب‌پذیری لازم است، بهره‌گیری کنید. برای به خطر انداختن یا حذف داده، ایجاد دسترسی مداوم به خط فرمان، یا برای روی برگرداندن به سایر سیستم‌ها بهره‌گیری نکنید.
  • قبل از افشای عمومی آن، به ما به اندازه کافی فرصت دهید تا این مسئله را حل کنیم.
  • حجم زیادی از گزارش‌های بی‌کیفیت را ارائه ندهید.

 

به محض اینکه از وجود یک آسیب‌پذیری مطلع می‌شوید یا با هر نوع داده غیر-عمومی یا حساس برخورد می کنید (اعم از اطلاعات شخصی، اطلاعات مالی، یا اطلاعات اختصاصی یا اسرار تجاری هر یک از طرفین)، باید تحقیق خود را متوقف کنید، بلافاصله به ما اطلاع دهید، و موافقت کنید که این آسیب‌پذیری یا داده را در اختیار فرد دیگری قرار نمی‌دهید.

گزارش یک آسیب‌پذیری امنیتی

روش‌های آزمایش

روش‌های آزمایش و تحقیق زیر مجاز نیستند:

 

  • تست‌های انکار سرویس (DoS یا DDoS) شبکه یا سایر تست‌هایی که دسترسی به سیستم یا داده‌ها را مختل می‌کند یا به آن آسیب می‌رساند.
  • تست فیزیکی (به عنوان مثال، دسترسی به دفتر، درهای باز، دنباله‌روی)، مهندسی اجتماعی (به عنوان مثال، فیشینگ، ویشینگ)، یا هر تست آسیب‌پذیری غیر-فنی دیگر
  • تخریب یا تغییر وبسایت‌ها
  • اخاذی از هر نوع از طریق درخواست پول یا تهدید به افشای اطلاعات
  • ایجاد حساب به تعداد نامعقول برای انجام آزمایش در برابر برنامه‌ها و خدمات

 

محدوده

قبل از اضافه کردن یک سیستم یا خدمات به محدوده تحقیق خود، مطمئن شوید که اجازه دارید یا مجاز هستید که تست امنیتی را با استفاده از آن سیستم یا سرویس انجام دهید. مثلاً، اگر از یک ارائه‌دهنده خدمات مدیریت‌شده یا نرم‌افزار به عنوان خدمات استفاده می‌کنید، مطمئن شوید که فروشنده صراحتاً چنین آزمایشی را مجاز اعلام کرده است، از قبیل تایید اینکه این مجوز در قرارداد آژانس شما با ارائه‌دهنده وجود دارد یا سیاست دسترسی عمومی را شرح می‌دهد. در غیر این صورت، باید برای اخذ مجوز صریح خود با فروشنده همکاری کنید. اگر امکان اخذ مجوز فروشنده وجود ندارد، نمی‌توانید آن سیستم‌ها یا خدمات را در محدوده تحقیقات خود بگنجانید.

 

این سیاست برای سیستم‌ها و خدمات زیر صدق می‌کند:

 

  • pge.com
  • guide.pge.com
  • recreation.pge.com
  • esft.pge.com
  • lyncdiscover.pge.com
  • safetyactioncenter.pge.com
  • wbt.firstresponder.pge.com
  • *.pge.com

 

هر سرویسی که صریحاً در بالا ذکر نشده است، مانند هر سرویس متصل، از محدوده  این سیاست مستثنی است و برای آزمایش یا تحقیق مجاز نیست. به علاوه، هر گونه آسیب‌پذیری که شما در سیستم‌های فروشندگان ما پیدا می‌کنید، خارج از محدوده این سیاست هستند و طبق سیاست افشای اطلاعات (در صورت وجود)، باید مستقیماً به فروشنده گزارش داده شوند. اگر مطمئن نیستید که آیا یک سیستم در محدوده قرار دارد یا خیر، قبل از شروع تحقیقات خود از طریق pgecirt@pge.com (یا از طریق مسئول امنیت مربوط به نام دامنه سیستم مندرج در .gov WHOIS) با ما تماس بگیرید.

 

گرچه ما سایر سیستم‌ها یا خدمات قابل دسترسی به اینترنت را توسعه می‌دهیم و حفظ می‌کنیم، می‌خواهیم و انتظار داریم که تحقیقات و آزمایش فعال فقط روی سیستم‌ها و خدمات تحت پوشش محدوده این سند انجام گیرند. اگر یک سیستم خاص در محدوده‌ای نیست که از نظر شما ارزش آزمایش داشته باشد، لطفاً با ما تماس بگیرید تا قبل از هر چیز درباره آن گفتگو کنیم. ممکن است ما محدوده این سیاست را به مرور زمان افزایش دهیم.

 

گزارش یک آُسیب‌پذیری

از اطلاعات آسیب‌پذیری ارائه شده طبق این سیاست فقط برای اهداف دفاعی استفاده خواهد شد، تا آسیب‌پذیری‌ها کاهش بیابند یا رفع شوند. اگر یافته‌های شما شامل آسیب‌پذیری‌هایی باشد که تازه کشف شده‌اند و نه فقط روی PG&E بلکه روی تمام کاربران یک محصول یا خدمات تاثیر می‌گذارند، ما گزارش شما را در اختیار آژانس امنیت سایبری و امنیت زیرساخت (Cybersecurity and Infrastructure Security Agency) قرار می‌دهیم، که در آنجا طبق فرآیند افشای آسیب‌پذیری هماهنگ‌شده آنها به آن رسیدگی خواهد شد. ما بدون اجازه صریح شما، نام یا اطلاعات تماس شما را به اشتراک نخواهیم گذاشت. گزارش‌ها ممکن است به طور ناشناس ارائه شوند. اگر اطلاعات تماس را ارائه دهید، ما تمام تلاش خود را به کار می‌گیریم تا ظرف سه (3) روز کاری دریافت گزارشتان را به شما اطلاع دهیم.

 

با ارائه یک گزارش آسیب‌پذیری، شما تایید می‌کنید که انتظار دریافت وجه ندارید و صراحتاً از اقامه دعوی علیه دولت آمریکا در آینده برای دریافت وجه در قبال ارائه گزارش خود صرف‌نظر می‌کنید.

 

آنچه می‌خواهیم از شما ببینیم

برای کمک به ما در ترسیم و اولویت‌بندی ارائه‌ها، توصیه می‌کنیم که موارد زیر را در اولین تماس خود از طریق ایمیل به pgecirt@pge.com بگنجانید:

  • توضیحات مهم درباره آسیب‌پذیری، محدوده و شدت آن.
  • مکان دامنه آسیب‌پذیری و تاثیر بالقوه بهره‌برداری.

 

پس از اینکه اطلاعات اولیه را بررسی کردیم، یک ایمیل رمزگذاری‌شده برای شما ارسال خواهیم کرد تا بتوانید در پاسخ به آن جزئیات ویژه آسیب‌پذیری، اعم از یک توضیح جامع درباره مراحل مورد نیاز برای بازتولید آسیب‌پذیری را ارائه دهید (مدرک متن‌های مفهومی یا عکس از صفحات مفید هستند).



آنچه می‌توانید از ما انتظار داشته باشید

وقتی مطابق با این سیاست یک گزارش آسیب‌پذیری را به این برنامه ارائه می‌دهید، ما متعهد هستیم که به طور علنی و در اسرع وقت با شما هماهنگ کنیم.

  • ظرف سه (3) روز کاری، ما تمام تلاش خود را به کار می‌گیریم تا اعلام کنیم که گزارش شما را دریافت کرده‌ایم.
  • تا جاییکه در حد توان ما است، وجود آسیب‌پذیری را نزد شما تایید خواهیم کرد و تا حد امکان درباره مراحلی که در طول روند بهبود انجام می‌دهیم، اعم از مسائل یا چالش‌هایی که ممکن است حل مسئله را به تاخیر بیاندازند، شفاف‌سازی می‌کنیم.
  • ما یک گفتگوی آزاد برای بحث درباره مسائل خواهیم داشت.

 

اختیارات مربوط به وجوه پرداختی افشا منحصراً در اختیار PG&E است اما PG&E در هیچ شرایطی برای افرادی که در فهرست تحریم‌ها قرار دارند، یا در کشورهایی هستند که در فهرست تحریم قرار دارند (مثلاً کوبا، ایران، کره شمالی، سودان و سوریه) وجوه پرداختی افشا صادر نمی‌کند.

 

اطلاعات حقوقی برنامه افشای آسیب‌پذیری

لطفاً توجه کنید که ممکن است با توجه به قوانین محلی جاییکه در آن زندگی یا کار می‌کنید، محدودیت‌های دیگری برای توانایی شما در ارائه آسیب‌پذیری‌های افشا‌ شده وجود داشته باشد.

 

ممکن است این سیاست تغییر کند و این برنامه در هر زمانی لغو شود، و تصمیم درباره پرداخت یا عدم پرداخت وجه افشا فقط با PG&E است.

 

منابع امنیتی اضافی

آژانس امنیت سایبری و امنیت زیرساخت (CISA)

اگر یافته‌های شما شامل آسیب‌پذیری‌هایی باشد که تازه کشف شده‌اند و نه فقط روی PG&E بلکه روی تمام کاربران یک محصول یا خدمات تاثیر می‌گذارند، با CISA تماس بگیرید.