安全漏洞報告

漏洞提交

如何報告安全漏洞問題

如果您發現 Nothing 產品或應用程序存在安全漏洞問題,請發送電子郵件至 g_feedback@nothing.tech。

使用公開的 PGP 密鑰加密含敏感信息的電子郵件,並驗證 Nothing 發送的安全通信是否是正宗的。

啟用日期: 2022年7月4日

到期日期: N/A

密鑰 ID: 0xA785B8AA

密鑰類型: RSA

密鑰大小: 4096/4096

指紋: 96A4 6E60 11B0 32D9 8D54 B384 F6EF CEC6 A785 B8AA

用戶 ID: g_feedback@nothing.tech

在您的電子郵件中,請提供以下信息:

  • 問題的詳細描述
  • 產品和軟件版本
  • 已知的利用信息
  • 漏洞類別
  • 漏洞標題
  • 域名
  • 漏洞級別
  • 漏洞描述
  • 其他細節
  • 附件(如果有的話)
  • 修復計劃

請詳細描述發現問題的過程及其影響。還請附上任何相關的代碼源文件、截圖或視頻。如果在漏洞利用過程中使用了調試工具,請將這些工具作為附件進行上傳。如果工具太大,請提供下載鏈接。此外,請提供漏洞概念驗證或利用。

注意:如果不符合這些要求,您的報告可能無法通過審查流程。

一旦我們收到您的漏洞報告,我們將在30個工作日內完成驗證過程,並通過電子郵件回复您的漏洞報告結果。請繼續關注您的電子郵件以獲取更新。

g_feedback@nothing.tech 只收集與 Nothing 產品相關的安全漏洞。如果您有其他產品相關的問題,可以通過我們的聯繫我們頁面與我們聯繫。

漏洞獎勵

漏洞獎勵旨在激勵個人報告安全漏洞。獎勵根據漏洞級別分層,較嚴重的問題將獲得更高的獎勵。下表列出了漏洞級別和獎勵。

  • 嚴重
  • $1000 - $2000
  • 敏感信息洩露、未授權訪問核心系統或大量敏感信息、在敏感操作上的越權行為。
  • 高風險
  • $500 - $1000
  • 直接獲取權限的漏洞,導致敏感信息洩露,竊取內部用戶信息。
  • 中風險
  • $100 - $500
  • 需要互動來獲取權限的漏洞,導致嚴重信息洩露,竊取內部用戶信息。
  • 低風險
  • $20 - $100
  • 只有在特定環境下才能獲取權限的漏洞,導致信息洩露,竊取內部用戶信息。

如果店鋪優惠券在您所在地區不可用,我們將根據比例轉換為其他獎勵。

所有優惠券均適用於條款和條件。優惠券的金額和種類由 Nothing 全權決定。

注意事項

以下情況將不會獲得獎勵:

  • 與 Nothing 產品無關的漏洞。
  • 修復前已公開的漏洞。
  • 已在網上公開披露的漏洞。
  • 對於相同的漏洞,只有第一位報告者會獲得獎勵;後續報告者將不會獲得獎勵。在不同版本中發現的同一漏洞仍被視為同一漏洞。
  • 利用漏洞損害用戶利益、擾亂業務運營或竊取用戶數據者將不會獲得任何獎勵。此外,Nothing 保留採取進一步法律行動的權利。

參加漏洞提交計劃即表示您承認並同意,任何授予的獎勵均需受本計劃條款和條件的約束。如果獎勵是以現金形式提供或其他應納稅形式存在,您需自行遵守當地稅法並申報和支付任何相關稅款。Nothing 不承擔任何可能產生的個人稅務義務。

由於法律限制,Nothing 可能無法處理受制裁國家/地區的獎勵。

在以下情況下,獎勵將被降級或取消:

  • 題目與內容有嚴重不符的情況下,將進行漏洞降級,在嚴重情況下獎勵將被取消。
  • 審查將以高質量的報告標準為基礎。缺少關鍵因素(文本描述、圖像證據、測試過程、風險接口、參數等)、報告結構不佳且無法一致複現的報告將被降級/忽略。
  • 未經 Nothing 許可公開披露漏洞細節的情況下,Nothing 保留追回漏洞獎勵並採取適當法律措施的權利,包括尋求損害賠償和/或禁止令救濟。

對於相同 URL,如果多個參數存在相似漏洞,將根據一個漏洞進行獎勵,並根據不同類型的最大危害程度進行獎勵。

由於相同來源生成的多個漏洞將被計算為單一漏洞。例如,同一 JS 導致的多個安全漏洞、同一發布系統導致的多個頁面安全漏洞、框架導致的全站安全漏洞、域名解析生成的多個安全漏洞等。

如果在同一報告中提交多個漏洞,我們將以最高危害級別的漏洞進行獎勵。

提交漏洞時,請確認它是否對業務有實際影響,並提交實際危害的證據。間接危害或推測性危害在分級時不會被考慮。

獎勵分發周期:

我們將在驗證漏洞後的30個工作日內通過電子郵件分發獎勵。請及時查看您的獎勵狀態。

涉及的個人信息:

為了獲得獎勵,您需要提供您的 NOTHING.tech 帳戶或其他帳戶信息。然而,在漏洞提交過程中,我們不會要求任何額外的個人信息。我們只會需要您註冊的電子郵件地址進行通信以及您的註冊帳戶信息以進行獎勵發放。

我們將根據我們的隱私政策訪問、處理和共享您的個人信息。參與即表示您同意按照上述和我們的隱私政策進行個人信息的訪問、使用和共享。如果您對此隱私政策或其實施有任何疑問,您可以通過以下方式與我們聯繫:電子郵件地址:privacy@nothing.tech