負責任的揭露政策


Merkle 認為每個人在網際網路上都應該是安全和有保障的。Merkle 致力於維護我們的資產、系統及顧客數據的安全性。如果有人發現屬於 Merkle 的任何產品、系統或數據有任何潛在漏洞,我們鼓勵資安人員盡快與我們聯絡。如果您認為自己已發現潛在的資訊安全漏洞,請根據我們的政策提交該漏洞資訊。

非常感謝您的協助。Merkle 並未推出回報獎勵計畫,也未提供透過回報潛在問題換取獎勵或薪酬的制度。


 

負責任的揭露計畫指導方針

研究人員應確保在揭露潛在的漏洞時,他們:

  • 並未從事會對 Merkle、Merkle 客戶或 Merkle 員工造成潛在或實際傷害的任何活動。  
  • 並未從事會對 Merkle 服務或資產造成潛在或 實際降級 ,或讓這些服務或資產完全停止運作的任何活動。 
  • 並未從事違反 (a) 適用之法律或法規的任何活動,或在 (i) 數據、資產或系統常駐、(ii) 路由數據流量或 (iii) (b) 或研究人員正在進行研究活動之任何國家/地區內從事違反其法律或法規的任何活動 
  • 並未從事讓 Merkle 違反 (a) 適用之法律或法規的任何活動,或在 (i) 數據、資產或系統常駐、(ii) 路由數據流量或 (iii) (b) 或研究人員正在進行研究活動之任何國家/地區內從事讓 Merkle 違反其法律或法規的任何活動。 
  • 並未儲存、分享、洩露或銷毀 Merkle 或任何顧客數據。若識別出任何個人資訊,您應立即停止活動、從您的系統移除相關數據,然後立即聯絡 Merkle。這對於保護任何潛在的數據資產,還有您來說相當重要。 
  • 請勿進行詐欺金融交易。 
  • 請勿將任何回報的問題揭露給第三方,或公開發佈此類已回報的問題 

根據上述準則行事並負責任地將您的發現交付給 Merkle 後,Merkle 即同意不會對您提出法律動作,除非因主管機關、其他第三方或適用之法律迫使我們這樣做 

提交報告後,Merkle 承諾將迅速確認收到所有報告(在任何情況下,自提交之日起不超過5個工作日)。在可能的情況下,如果您透過此計劃報告了經過驗證的漏洞,Merkle 將盡商業上合理的努力,適時地告知您該漏洞的處理進度。

 

提交格式

回報潛在的漏洞時,請納入詳細的漏洞摘要。這應包括下列資訊:  

  • 目標  
  • 步驟 
  • 工具 
  • 詳細描述  
  • 您可包含螢幕擷取畫面,以闡述細節

 

超出範圍的安全漏洞

某些安全漏洞不在我們負責的揭露計畫範圍內。 超出範圍的安全漏洞包括但不限於: 

  • 現場的實體測試 
  • 社群。例如,嘗試竊取 Cookie、用於收集登入數據的偽造登入頁面 
  • 網路釣魚 
  • 阻斷服務攻擊 
  • 資源耗盡攻擊