אבטחה ודיווח על פגיעויות

איך לדווח

שלח דיווח למייל [email protected] עם הפרטים הבאים:

• תיאור הפגיעות והיכן זיהית אותה (URL / endpoint / מסך)
• שלבי שחזור (proof of concept, screenshot או וידאו קצר)
• השפעה אפשרית מבחינתך
• פרטי קשר שאוכל לחזור אליך לתיאום

התחייבות שלנו

• אישור קבלה תוך 72 שעות עבודה
• תגובה מהותית ראשונה תוך 5 ימי עבודה
• עדכון תקופתי לאורך הטיפול
• לא ננקוט פעולות משפטיות נגד חוקר שדיווח באחריות לפי המדיניות הזו
• קרדיט (אופציונלי) במסמך תודות באתר אחרי שהפגיעות תיסגר

הנחיות בדיקה (scope)

הפעולות הבאות אסורות בהחלט ויסיימו את הטיפול בדיווח:

• גישה / ניסיון גישה לנתוני לקוחות אמיתיים שלא בבעלותך
• שינוי / מחיקה / הצפנה של נתונים בייצור
• התקפות מסוג DDoS, brute-force ארוך, או הצפת SMS/מייל ל-OTPs
• פגיעה בזמינות השירות לשאר הלקוחות
• הנדסה חברתית של עובדים, שליחים או לקוחות זיגזג
• בדיקת אבטחה פיזית של מתקני זיגזג (סניפים, מחסנים, רכבים)

בדיקות מותרות: בחשבון בדיקה משלך (יצירת לקוח חדש בעצמך), על תרחישים שמשפיעים רק על הנתונים שלך, וברעננות סבירה (לא מאות בקשות בשנייה).

Scope

הדיווח חל על האתר הציבורי zig-zag.co.il והדאשבורד ללקוחות מאומתים. בדיקות מותאמות לתשתיות פנים-ארגוניות, ספקי צד שלישי או רכיבים שאינם חלק מהאתר אינן בתחום של תכנית זו.