Patakaran sa Pagbubunyag ng Kahinaan

Last Update: July 26, 2023

Brand Promise

Ang Taboola, Inc., kasama ang mga kaakibat nito (“Taboola”, “kami”, “atin”, o “aming”) ay nakatuon sa pakikipagtulungan sa mga mananaliksik sa seguridad upang beripikahin at tugunan ang anumang potensyal na kahinaan sa aming mga serbisyo na iniulat sa amin alinsunod sa Patakaran sa Pagbubunyag ng Kahinaan na ito (“Patakaran”). Umaasa kaming makabuo ng isang bukas na pakikipagsosyo sa komunidad ng seguridad, at kinikilala namin na ang gawain ng komunidad ay mahalaga sa patuloy na pagtitiyak ng kaligtasan at seguridad ng aming mga customer, gumagamit, at kasosyo.

Binuo namin ang Patakaran na ito upang ipakita ang aming mga halaga sa korporasyon at upang panatilihin ang aming legal na responsibilidad sa mga mananaliksik sa seguridad na may mabuting layunin na nagbibigay sa amin ng kanilang kadalubhasaan at mungkahi sa seguridad.

Programa at Saklaw

Humihiling kami na ang lahat ng mga mananaliksik sa seguridad ay magsumite ng mga ulat ng kahinaan tungkol sa alinman sa mga sumusunod (sama-samang, ang “Mga Serbisyo”):

  • Ang aming website, www.taboola.com, ang mga website ng aming mga kaakibat at mga subsidiary (kabilang ang Connexity, Skimlinks at Gravity R&D), o anumang website ng Taboola na nagpapakita ng aming Patakaran sa Privacy (sama-samang ang “Mga Site”)
  • Ang aming mga platform ng pagtuklas ng nilalaman, mga feed, mga widget, mga tool sa analytics, at iba pang mga teknikal na aplikasyon na ibinibigay namin sa mga website ng third-party (sama-samang, ang “Platform ng Pagtuklas ng Nilalaman”)
  • Ang suite ng mga tool sa pagtuklas ng nilalaman ng Taboola na magagamit sa mga mobile device at operating system (kabilang ang linya ng mga produkto ng Start, sama-samang “Taboola News”)

Legal Posture

Maluwag naming tinatanggap ang mga ulat ng kahinaan para sa mga Serbisyo, at hindi makikilahok ang Taboola sa legal na aksyon laban sa mga indibidwal na nagsusumite ng mga ulat ng kahinaan alinsunod sa Patakaran na ito. Sumasang-ayon kaming hindi maghabol ng legal na aksyon laban sa mga indibidwal na:

  • Nakikilahok sa pagsusuri ng kahinaan sa loob ng saklaw ng Patakaran na ito.
  • Nakikilahok sa pagsusuri ng kahinaan na kinasasangkutan lamang ang mga Serbisyo.
  • Nakikilahok sa pagsusuri ng kahinaan nang hindi nakakaapekto o nakakasama sa Taboola o sa mga customer, gumagamit, o kasosyo nito.
  • Sumusunod sa mga batas ng kanilang lokasyon at lokasyon ng Taboola. Halimbawa, ang paglabag sa mga batas na magreresulta lamang sa isang paghahabol ng Taboola (at hindi isang kriminal na paghahabol) ay maaaring katanggap-tanggap habang pinahihintulutan ng Taboola ang aktibidad (reverse engineering o pag-iwas sa mga proteksiyon na hakbang) upang mapabuti ang mga Serbisyo.
  • Iwasan ang pagbubunyag ng mga detalye ng kahinaan sa publiko bago mag-expire ang isang napagkasunduang panahon.

Paano Mag-ulat ng Kahinaan

Mangyaring iulat ang mga detalye ng anumang pinaghihinalaan o natukoy na mga kahinaan sa pamamagitan ng pagsusumite ng ulat ng kahinaan sa Security Team ng Taboola sa bountyprogram@taboola.com kasama ang lahat ng sumusunod na limang (5) elemento: Taboola, Inc. 16 Madison Square West, 7th fl. New York, New York 10010

  • Ang petsa na sinubukan mo at natagpuan ang kahinaan
  • Anumang hakbang na kinakailangan upang muling likhain ang kahinaan
  • Mga sumusuportang screenshot sa format na JPEG (kung naaangkop)
  • Isang maikling paglalarawan ng potensyal na epekto
  • Ang sumusunod na pahayag na nakumpirma:

NABASA KO AT NAUUNAWAAN AT SANG-AYON AKO SA MGA TUNTUNIN NG PATNUBAY SA PAGBUBUNYAG NG KAHINAAN NG TABOOLA (“PATNUBAY”). SANG-AYON AKO SA MGA TUNTUNIN NG PAGGAMIT NG TABOOLA. NAGKAROON AKO NG PAGSUNOD AT MAGPAPATULOY NA SUSUNOD SA MGA TUNTUNIN NG PATNUBAY AT MGA TUNTUNIN NG PAGGAMIT. HINDI KO ISINIWALAT ANG PAGSUSUMIT NA ITO SA SINUMAN. NATAGPUAN KO ITO SA SARILI KO. HINDI KO ISISIWALAT ANG PAGSUSUMIT NA ITO SA SINUMAN.

Pagsasaayos, Pagpapa-prioritize, at Mga Pamantayan ng Pagtanggap

Gagamitin namin ang mga sumusunod na pamantayan upang bigyang-priyoridad at i-triage ang mga pagsusumite. Ano ang nais naming makita mula sa iyo:

  • Ang mga mahusay na nakasulat na ulat sa Ingles ay magkakaroon ng mas mataas na pagkakataon ng resolusyon.
  • Ang mga ulat na naglalaman ng proof-of-concept code ay nagbibigay-daan sa amin upang mas mahusay na i-triage.
  • Ang mga ulat na naglalaman lamang ng mga crash dump o iba pang output ng automated tool ay maaaring makatanggap ng mas mababang priyoridad.
  • Ang mga ulat na naglalaman ng mga produktong hindi nakalista sa Program & Scope ay maaaring makatanggap ng mas mababang priyoridad.
  • Mangyaring isama kung paano mo natagpuan ang kahinaan, ang epekto, at anumang potensyal na remedyo.
  • Mangyaring isama ang anumang mga plano o intensyon para sa pampublikong pagbubunyag.

Ano ang maaari mong asahan mula sa amin:

  • Isang napapanahong tugon sa iyong pagsusumite (sa loob ng 10 araw ng negosyo).
  • Pagkatapos ng triage, magpapadala kami ng inaasahang timeline ng remediation, at mangako na maging kasing transparent hangga’t maaari tungkol sa ganitong timeline, pati na rin sa mga isyu o hamon na maaaring magpahaba dito.
  • Isang bukas na dialogo upang talakayin ang mga isyu.
  • Abiso kapag ang pagsusuri ng kahinaan ay nakumpleto na ang bawat yugto ng aming pagsusuri.
  • Pagkilala pagkatapos ang kahinaan ay na-validate at nalutas.
  • Mga gantimpala

Maaaring gantimpalaan namin ang mga pagsusumite na tumutulong na panatilihing ligtas at secure ang mga Serbisyo, basta’t sumusunod sila sa Patakarang ito. Kung may gantimpala o wala ay nasa aming nag-iisa at ganap na pagpapasya. Ang pagbibigay ng gantimpala ay maaaring tumagal ng hanggang 90 araw ng negosyo.