Chính sách tiết lộ lỗ hổng bảo mật

Last Update: July 26, 2023

Lời hứa thương hiệu

Taboola, Inc., cùng với các chi nhánh của mình (“Taboola”, “chúng tôi”, “của chúng tôi”) cam kết hợp tác với các nhà nghiên cứu bảo mật để xác minh và giải quyết mọi lỗ hổng tiềm ẩn trong các dịch vụ của chúng tôi được báo cáo cho chúng tôi theo Chính sách tiết lộ lỗ hổng này (“Chính sách”). Chúng tôi hy vọng sẽ thúc đẩy mối quan hệ hợp tác cởi mở với cộng đồng bảo mật và chúng tôi nhận thấy rằng công việc mà cộng đồng thực hiện rất quan trọng trong việc tiếp tục đảm bảo sự an toàn và bảo mật cho khách hàng, người dùng và đối tác của chúng tôi.

Chúng tôi đã xây dựng Chính sách này để phản ánh các giá trị doanh nghiệp của mình và để duy trì trách nhiệm pháp lý đối với các nhà nghiên cứu bảo mật thiện chí đang cung cấp cho chúng tôi kiến thức chuyên môn và đề xuất bảo mật của họ.

Chương trình & Phạm vi

Chúng tôi yêu cầu tất cả các nhà nghiên cứu bảo mật gửi báo cáo về lỗ hổng bảo mật về bất kỳ nội dung nào sau đây (gọi chung là “Dịch vụ”):

  • Trang web của chúng tôi, www.taboola.com, các trang web của các chi nhánh và công ty con của chúng tôi (bao gồm Connexity, Skimlinks và Gravity R&D) hoặc bất kỳ trang web nào của Taboola hiển thị Chính sách quyền riêng tư của chúng tôi (gọi chung là “Các trang web”)
  • Nền tảng khám phá nội dung, nguồn cấp dữ liệu, tiện ích, công cụ phân tích và các ứng dụng kỹ thuật khác mà chúng tôi cung cấp trên các trang web của bên thứ ba (gọi chung là “Nền tảng khám phá nội dung”)
  • Bộ công cụ khám phá nội dung Taboola News có sẵn trên các thiết bị di động và hệ điều hành (bao gồm cả dòng sản phẩm Start, gọi chung là “Taboola News”)

Tư thế pháp lý

Chúng tôi chấp nhận công khai các báo cáo về lỗ hổng bảo mật cho Dịch vụ và Taboola sẽ không thực hiện hành động pháp lý chống lại những cá nhân gửi báo cáo về lỗ hổng bảo mật theo Chính sách này. Chúng tôi đồng ý không thực hiện hành động pháp lý đối với những cá nhân:

  • Tham gia thử nghiệm lỗ hổng bảo mật trong phạm vi của Chính sách này.
  • Tham gia thử nghiệm lỗ hổng chỉ liên quan đến Dịch vụ.
  • Tham gia thử nghiệm lỗ hổng mà không ảnh hưởng hoặc gây hại cho Taboola hoặc khách hàng, người dùng hoặc đối tác của Taboola.
  • Tuân thủ luật pháp tại địa phương và vị trí của Taboola. Ví dụ, việc vi phạm luật chỉ dẫn đến khiếu nại của Taboola (và không phải khiếu nại hình sự) có thể được chấp nhận vì Taboola đang cho phép hoạt động (kỹ thuật đảo ngược hoặc lách các biện pháp bảo vệ) để cải thiện Dịch vụ.
  • Không tiết lộ thông tin chi tiết về lỗ hổng bảo mật cho công chúng trước khi thời hạn đã thỏa thuận hết hạn.

Cách báo cáo lỗ hổng bảo mật

Vui lòng báo cáo chi tiết về bất kỳ lỗ hổng nào bị nghi ngờ hoặc phát hiện bằng cách gửi báo cáo lỗ hổng tới Nhóm bảo mật của Taboola theo địa chỉ bountyprogram@taboola.com bao gồm tất cả năm (5) yếu tố sau: Công ty Taboola 16 Madison Square West, 7th fl. New York, New York 10010

  • Ngày bạn đã kiểm tra và phát hiện ra lỗ hổng
  • Bất kỳ bước nào cần thiết để tái tạo lỗ hổng
  • Hỗ trợ ảnh chụp màn hình ở định dạng JPEG (khi có liên quan)
  • Một mô tả ngắn gọn về tác động tiềm ẩn
  • Câu khẳng định sau đây:

TÔI ĐÃ ĐỌC, HIỂU VÀ ĐỒNG Ý VỚI CÁC ĐIỀU KHOẢN CỦA CHÍNH SÁCH TIẾT LỘ LỖ HỔNG CỦA TABOOLA (“CHÍNH SÁCH”). TÔI ĐỒNG Ý VỚI ĐIỀU KHOẢN SỬ DỤNG CỦA TABOOLA. TÔI ĐÃ TUÂN THỦ VÀ SẼ TUÂN THỦ CÁC QUY TẮC CỦA CHÍNH SÁCH VÀ ĐIỀU KHOẢN SỬ DỤNG. TÔI CHƯA TIẾT LỘ TÀI LIỆU NÀY CHO BẤT KỲ AI. TÔI TỰ MÌNH KHÁM PHÁ ĐƯỢC ĐIỀU ĐÓ. TÔI SẼ KHÔNG TIẾT LỘ TÀI LIỆU NÀY CHO BẤT KỲ AI.

Tiêu chí ưu tiên, ưu tiên và chấp nhận

Chúng tôi sẽ sử dụng các tiêu chí sau để ưu tiên và phân loại các bài nộp. Những gì chúng tôi muốn thấy từ bạn:

  • Các báo cáo được viết tốt bằng tiếng Anh sẽ có cơ hội được giải quyết cao hơn.
  • Các báo cáo có chứa mã chứng minh khái niệm giúp chúng tôi phân loại tốt hơn.
  • Các báo cáo chỉ bao gồm bản kết xuất lỗi hoặc công cụ tự động khác có thể được ưu tiên thấp hơn.
  • Các báo cáo bao gồm các sản phẩm không được liệt kê trong Chương trình & Phạm vi có thể được ưu tiên thấp hơn.
  • Vui lòng cung cấp thông tin về cách bạn phát hiện ra lỗ hổng, tác động và bất kỳ biện pháp khắc phục tiềm năng nào.
  • Vui lòng nêu rõ bất kỳ kế hoạch hoặc ý định công bố thông tin nào.

Những gì bạn có thể mong đợi từ chúng tôi:

  • Phản hồi kịp thời cho nội dung bạn gửi (trong vòng 10 ngày làm việc).
  • Sau khi phân loại, chúng tôi sẽ gửi mốc thời gian khắc phục dự kiến và cam kết minh bạch nhất có thể về mốc thời gian đó, cũng như về các vấn đề hoặc thách thức có thể kéo dài mốc thời gian đó.
  • Một cuộc đối thoại mở để thảo luận các vấn đề.
  • Thông báo khi quá trình phân tích lỗ hổng bảo mật đã hoàn tất ở mỗi giai đoạn đánh giá của chúng tôi.
  • Nhận dạng sau khi lỗ hổng đã được xác thực và giải quyết.
  • Phần thưởng

Chúng tôi có thể thưởng cho những ý kiến đóng góp giúp duy trì Dịch vụ an toàn và bảo mật, với điều kiện là chúng tuân thủ Chính sách này. Việc có trao thưởng hay không hoàn toàn tùy thuộc vào quyết định riêng của chúng tôi. Việc trao thưởng có thể mất tới 90 ngày làm việc.