「Tumblr 漏洞獎勵計劃」,是特別為一眾關注安全保障的用戶而設,以鼓勵他們繼續維持
Tumblr
社群的安全,免受罪犯和不法份子侵害。如果你在計劃範圍內(定義如下)提交錯誤報告,我們將會為你驚人的洞察力予以獎勵。此外,當你提交錯誤報告,即表示你同意所提交的報告將受
Tumblr 應用程式開發人員和 API 授權協議中相關條款的約束。
Tumblr
的安全和我們的用戶一向都是我們最重視的部分。我們很期待與安全保障社群合作,並邀請安全研究人員向我們匯報產品的安全保障漏洞。
回報
Tumblr
會根據提交問題的嚴重性和詳細程度,向提交合資格漏洞問題的合資格用戶提供獎勵。而是否符合資格則是由 Tumblr 安全團隊決定。提供獎勵與否,乃由
Tumblr 全權決定。
獎勵項目非常豐富,包括 Tumblr 品牌紀念品和高達 $5,000
美元的獎金。Tumblr
會全權決定是否提供獎勵及獎勵內容或金額。用戶所報告的問題越獨特或漏洞越嚴重,所收到的獎勵金額便越高。相反,如果漏洞需要複雜或不尋常的用戶互動方能引發,所收到的獎勵則會越少。
視乎所找到的不同漏洞,某些獎勵可能會結合以單筆獎金的形式提供。舉個例子:多個與相同漏洞有關的問題在不同資源參數上出現;或針對基礎架構問題演示的多重攻擊向量。
資格及負責任的披露
我們當然歡迎各位踴躍報告問題。但如要符合獎勵資格,你必須符合以下條件:
- 你必須是第一位向我們報告該問題的用戶。
- 問題必須屬於合資格的漏洞(見下文),並會對範圍內的應用程式造成影響(見上文)。
-
這個計劃不允許在未經明確許可的情況下公開披露漏洞。如果你希望披露報告內容,請先徵詢我們的同意。
違反任何規則會導致你失去獲得獎勵的資格,及/或會被即時取消計劃參與資格。
範圍
以下域名和 app 均在計劃範圍之內:
- http://www.tumblr.com
- api.tumblr.com
- safe.tumblr.com
- secure.tumblr.com
- assets.tumblr.com
- embed.tumblr.com
- iOS 版 Tumblr
- Android 版 Tumblr
合資格的漏洞問題
以下為符合獎勵資格的常見漏洞問題,包括但不限於:
- 跨網站指令碼(XSS)
- 跨網站偽造請求(CSRF)
- 繞過認證或授權
- 遠端執行程式碼
-
本機或遠端檔案包含漏洞。如果你不確定你的問題是否符合資格,試想像一下攻擊的情況。舉個例子,這樣的漏洞會否對其他 Tumblr
用戶造成負面影響?
不合資格的項目
雖然每份報告都會經過團隊檢閱,你所提交的漏洞問題未必能符合金錢獎勵。但最低限度是,任何需要我們作出變更的報告均會獲得一份 Tumblr
贈品。
請遵循我們的要求,不得存取私人資訊或採取可能會對其他 Tumblr
用戶造成負面影響的行動。除此之外,請勿在未經確認的情況送出由自動工具製作的報告。
以下的一系列問題,均不在「Tumblr 漏洞獎勵計劃」範圍之內:
- 不負責任的披露
- 我們已知悉或已有人報告過的問題
- 部落格網絡的 JavaScript(例如
[blog].tumblr.com) - “Self” XSS
- 跨網站偽造請求(CSRF),但對安全保障的影響輕微(例如 “logout
CSRF”) - 帳戶列舉
- 阻斷服務攻擊
- SSL/TLS 最佳實踐
- 不完整或遺失 SPF/DKIM
- 一般最佳實踐問題
- 需要實際存取用戶裝置才能執行的攻擊
- Tumblr 員工的社交工程
- 實際存取 Tumblr 的財產或數據中心
-
對垃圾內容或版權資料的舉報
法律聲明
在參與此計劃的過程中,你同意遵守所有適用的當地和全國性法律。
Tumblr 保留隨時變更或修改此計劃的條款。
如果你居於或身處在美國制裁列表內的國家/地區,你便無法參與此計劃。
透過濫用 Tumblr
用戶或員工而找到的漏洞並不符合獎勵資格,並可能會被即時取消計劃參與資格。
Tumblr
從未向任何個人或團體賦予權限/授權(無論是明示或暗示),允許其擷取個人資訊或 Tumblr
用戶的內容,或未經用戶同意公開或是在公開網絡展示此等資訊;此外 Tumblr 亦從未賦予權限,對 Tumblr
所有程式或資料進行修改或損毀以擷取並公開揭露 Tumblr 所擁有的資料。
無論計劃是由 Tumblr 或任何第三方團體主辦,Tumblr
員工和臨時工,及其直屬家庭成員和共同居住的人,均不合資格接受任何 Tumblr 計劃的獎金或獎勵。
最後事項
漏洞問題是否合資格,以及其相關價值將由我們決定。請勿將這項計劃視為遊戲或比賽,更不要當作是商業計劃。這項計劃的實施乃由我們自行決定,並可能隨時取消。雖然如此,我們謹此感謝大家的熱心協助。