Dasar Pendedahan Kerentanan

Last Update: July 26, 2023

Janji Jenama

Taboola, Inc., bersama-sama dengan sekutunya (“Taboola”, “kami”, “kami”, atau “kami”) komited untuk bekerjasama dengan penyelidik keselamatan untuk mengesahkan dan menangani sebarang kemungkinan kelemahan dalam perkhidmatan kami yang dilaporkan kepada kami mengikut Dasar Pendedahan Kerentanan ini (“Dasar”). Kami berharap dapat memupuk perkongsian terbuka dengan komuniti keselamatan, dan kami menyedari bahawa kerja yang dilakukan oleh komuniti adalah penting dalam terus memastikan keselamatan dan keselamatan pelanggan, pengguna dan rakan kongsi kami.

Kami telah membangunkan Dasar ini untuk mencerminkan nilai-nilai korporat kami dan untuk menegakkan tanggungjawab undang-undang kami kepada penyelidik keselamatan yang baik yang memberikan kami kepakaran dan cadangan keselamatan mereka.

Program & Skop

Kami meminta agar semua penyelidik keselamatan mengemukakan laporan kelemahan mengenai mana-mana perkara berikut (secara kolektif, “Perkhidmatan”):

  • Laman web kami, www.taboola.com, laman web sekutu dan anak syarikat kami (termasuk Connexity, Skimlinks dan R&D Gravity), atau mana-mana laman web Taboola yang memaparkan Dasar Privasi kami (secara kolektif “Tapak”)
  • Platform penemuan kandungan kami, suapan, widget, alat analisis, dan aplikasi teknikal lain yang kami sediakan di laman web pihak ketiga (secara kolektif, “Platform Penemuan Kandungan”)
  • Alat penemuan kandungan Taboola News yang tersedia pada peranti mudah alih dan sistem operasi (termasuk barisan produk Mula, secara kolektif “Berita Taboola”)

Postur Undang-undang

Kami secara terbuka menerima laporan kelemahan untuk Perkhidmatan, dan Taboola tidak akan terlibat dalam tindakan undang-undang terhadap individu yang menyerahkan laporan kelemahan mengikut Dasar ini. Kami bersetuju untuk tidak meneruskan tindakan undang-undang terhadap individu yang:

  • Terlibat dalam ujian kelemahan dalam skop Dasar ini.
  • Terlibat dalam ujian kelemahan yang melibatkan hanya Perkhidmatan.
  • Terlibat dalam ujian kelemahan tanpa menjejaskan atau merosakkan Taboola atau pelanggan, pengguna, atau rakan kongsi.
  • Mematuhi undang-undang lokasi mereka dan lokasi Taboola. Sebagai contoh, melanggar undang-undang yang hanya akan mengakibatkan tuntutan oleh Taboola (dan bukan tuntutan jenayah) mungkin boleh diterima kerana Taboola membenarkan aktiviti tersebut (kejuruteraan terbalik atau mengelakkan langkah-langkah perlindungan) untuk meningkatkan Perkhidmatan.
  • Elakkan daripada mendedahkan butiran kelemahan kepada orang ramai sebelum tempoh masa yang saling dipersetujui tamat.

Cara Melaporkan Kerentanan

Sila laporkan butiran sebarang kelemahan yang disyaki atau dikesan dengan menyerahkan laporan kerentanan kepada Pasukan Keselamatan Taboola di [email protected] termasuk semua lima (5) elemen berikut: Taboola, Inc. 16 Madison Square West, tingkat 7. New York, New York 10010

  • Tarikh yang anda uji dan mendapati kelemahan
  • Sebarang langkah yang diperlukan untuk menghasilkan semula kerentanan
  • Menyokong tangkapan skrin dalam format JPEG (apabila relevan)
  • Penerangan ringkas mengenai kesan yang berpotensi
  • Kenyataan afirmatif berikut:

SAYA TELAH MEMBACA DAN MEMAHAMI DAN BERSETUJU DENGAN TERMA DASAR PENDEDAHAN KERENTANAN TABOOLA (“DASAR”). SAYA BERSETUJU DENGAN TERMA PENGGUNAAN TABOOLA. SAYA TELAH MEMATUHI DAN AKAN MEMATUHI PERATURAN POLISI DAN SYARAT PENGGUNAAN. SAYA TIDAK MENDEDAHKAN PENYERAHAN INI KEPADA SESIAPA PUN. SAYA SENDIRI MENEMUINYA. SAYA TIDAK AKAN MENDEDAHKAN PENYERAHAN INI KEPADA SESIAPA PUN.

Keutamaan, Keutamaan, dan Kriteria Penerimaan

Kami akan menggunakan kriteria berikut untuk mengutamakan dan mengutamakan penyerahan. Apa yang kami ingin lihat daripada anda:

  • Laporan yang ditulis dengan baik dalam bahasa Inggeris akan mempunyai peluang penyelesaian yang lebih tinggi.
  • Laporan yang merangkumi kod bukti konsep melengkapkan kami untuk triage yang lebih baik.
  • Laporan yang hanya merangkumi pembuangan kemalangan atau output alat automatik lain mungkin mendapat keutamaan yang lebih rendah.
  • Laporan yang merangkumi produk yang tidak disenaraikan di bawah Program & Skop mungkin mendapat keutamaan yang lebih rendah.
  • Sila sertakan bagaimana anda menemui kelemahan, kesan, dan sebarang kemungkinan pemulihan.
  • Sila sertakan sebarang rancangan atau niat untuk pendedahan awam.

Apa yang anda boleh jangkakan daripada kami:

  • Sambutan tepat pada masanya terhadap penyerahan anda (dalam masa 10 hari bekerja).
  • Selepas triage, kami akan menghantar garis masa pemulihan yang diharapkan, dan komited untuk menjadi telus sebanyak mungkin mengenai garis masa tersebut, serta mengenai isu atau cabaran yang mungkin memperluaskannya.
  • Dialog terbuka untuk membincangkan isu.
  • Pemberitahuan apabila analisis kerentanan telah menyelesaikan setiap peringkat semakan kami.
  • Pengiktirafan selepas kelemahan telah disahkan dan diselesaikan.
  • Ganjaran

Kami boleh memberi ganjaran kepada penyerahan yang membantu memastikan Perkhidmatan selamat dan terjamin, dengan syarat mereka mematuhi Dasar ini. Sama ada ganjaran ditawarkan atau tidak adalah mengikut budi bicara mutlak kami. Ganjaran mungkin mengambil masa sehingga 90 hari bekerja.