الإفصاح المسؤول عن الثغرات الأمنية

آخر تحديث لهذه السياسة تم في 01/03/14.

سياسة الإفصاح المسؤول

المعلومات الموجودة في هذه الصفحة موجهة إلى الباحثين في مجال أمن المعلومات المهتمين بإبلاغ فريق أمن المعلومات بشركة Netflix بوجود ثغرات أمنية. إذا كنت عضوًا في Netflix ولديك أسئلة حول الاحتيال أو البرامج الضارة، فيرجى مراجعة صفحات الدعم التالية:

إذا كنت عميلاً وتريد الحصول على معلومات بشأن حسابك أو الفوترة أو محتوى الموقع، فيرجى التواصل مع دعم العملاء عبر الهاتف أو المحادثة المباشرة.

إذا كنت تعتقد أنك وجدت ثغرة أمنية في خواص أو تطبيق Netflix، فنحن نحثك بشدة على إبلاغنا في أسرع وقت ممكن وعدم الكشف عن الثغرة بشكل علني حتى يتم إصلاحها. نحن نُقدر مساعدتك، ونعدك بمراجعة جميع التقارير وبذل قصارى جهدنا لمعالجة المشكلة في الوقت المناسب. لتشجيع الإفصاح المسؤول، لن ترفع Netflix دعوى قضائية ضدك أو تطلب إنفاذ القانون إذا قررنا أن الإفصاح يستوفي الإرشادات التالية.

إرشادات الإفصاح المسؤول

  • قم بإعلام Netflix وتزويدنا بالتفاصيل الخاصة بالثغرة الأمنية. يرجى إمهالنا فترة زمنية مناسبة لمعالجة هذه المشكلة قبل الإفصاح عنها بشكل علني.
  • قدم مستوى مناسب من التفاصيل الخاصة بالثغرة الأمنية للسماح لنا بتحديد المشكلة ووضع تصور لحلها. يجب أن تتضمن التفاصيل عناوين URL المستهدفة و/أو أزواج من الطلبات/الاستجابات و/أو لقطات شاشة و/أو غيرها من المعلومات.
  • وسنؤكد استلام البريد الإلكتروني ونقيّم المشكلة ونضع تصورًا لحلها. بالنسبة للمشكلات الصحيحة، سنعمل على إصلاح المشكلة وإعلامك بمدى التقدم المُحرز.
  • بذل قصارى الجهد لتجنب أي انقطاع في الخدمة (مثل تعطل الخدمة) ومشكلات الخصوصية (أي الوصول إلى بيانات عميل Netflix) وإتلاف البيانات أثناء البحث عن ثغرات أمنية.
  • لا تطلب تعويضًا عن تقارير الثغرات الأمنية سواء من Netflix أو من الأسواق الخارجية المعنية بالكشف عن الثغرات الأمنية.
  • لا تقم بالتصيد الاحتيالي أو تُعلم مهندسي أو عملاء Netflix بما توصلت إليه.
  • لا تقم بتشغيل أدوات فحص تلقائية وإرسال المعلومات إلينا دون التأكد من وجود المشكلة. تتوصل أدوات الأمان في كثير من الأحيان لاكتشاف نتائج خاطئة إيجابية ويجب على المُبلغ عن المشكلة تأكيد مدى صحتها.

فئات الثغرات الأمنية التي نُشجع اكتشافها

نحن مهتمون في المقام الأول بمعرفة الفئات التالية من الثغرات الأمنية:

  • البرامج النصية للمواقع المشتركة (XSS)
  • تزييف طلب المواقع المشتركة (CSRF)
  • حقن هجوم SQL (SQLi)
  • المشكلات المتعلقة بالتصديق
  • المشكلات المتعلقة بالتخويل
  • كشف البيانات
  • إعادة توجيه الهجمات
  • تنفيذ التعليمات البرمجية عن بُعد
  • الثغرات الأمنية الكبيرة أو المشكلات الفريدة خاصةً التي لا تندرج ضمن فئات واضحة

فئات الثغرات الأمنية الخارجة عن النطاق

تعتبر الفئات التالية من الثغرات الأمنية خارجة عن نطاق برنامج الإفصاح المسؤول ولن تكون مؤهلة للحصول على ائتمان في قائمة باحثينا.

  • الثغرات الأمنية لـ SSL المتعلقة بالتكوين أو الإصدار
  • قطع الخدمة (DoS)
  • تعداد المستخدم
  • الهجمات الغاشمة
  • عدم وضع علامة الأمان أمام الكوكيز غير الهامة
  • عدم وضع علامة HTTPOnly
  • تسجيل الخروج من تزييف طلب المواقع المشتركة (CSRF)
  • المشكلات الموجودة فقط في المستعرضات القديمة/المكونات الإضافية القديمة/مستعرضات البرامج منتهية الصلاحية
  • طريقة تتبع HTTP المُمكنة
  • تقارير الثغرات الأمنية المتعلقة بأرقام إصدارات خوادم الويب أو الخدمات أو إطارات العمل
  • اصطياد النقرات على الصفحات بدون تخويل و/أو حدوث تغييرات هامة في الحالة
  • تقارير الثغرات الأمنية التي تتطلب قدرًا كبيرًا من تعاون المستخدم لتنفيذ إجراءات غير مرجحة أو غير منطقية والتي يمكن أن تكون مصحوبة بأعراض أكثر من هجمات الهندسة الاجتماعية أو التصيد وليست ثغرة أمنية في التطبيق (على سبيل المثال تعطيل ميزات أمان المستعرض وإرسال المعلومات الهامة الخاصة بالمتطفل لاستكمال الهجوم، وذلك بتوجيه المستخدم من خلال تدفق معين ومطالبته بإدخال التعليمة البرمجية الضارة بنفسه، وما إلى ذلك)

كيفية الإبلاغ عن وجود ثغرة أمنية

يرجى إرسال رسالة بريد إلكتروني إلى security-report@netflix.com لإبلاغ Netflix بوجود ثغرات أمنية. إذا كنت تريد تشفير البريد الإلكتروني، فستجد مفتاح PGP الخاص بنا أدناه.

مفتاح PGP

-----BEGIN PGP PUBLIC KEY BLOCK-----
Comment: GPGTools - https://gpgtools.org
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=Mwb9
-----END PGP PUBLIC KEY BLOCK-----

الباحثون المشاركون في مجال أمن المعلومات - 2017

تود Netflix أن تشكر الباحثين التالي ذكرهم لمشاركتهم في برنامج الإفصاح المسؤول.

  • سوميت ساهو (‎@54H00)
  • سويوج بالاف (‎@SuyogPalav555)
  • موريس ديبيتس
  • جون بوتاريني (@jon_bottarini)
  • دهافال شوهان (‎@17haval)
  • جين سانت لورينت (‎@JeanDebogue)
  • يوسابيو بليندو (@testalways)
  • "عكش ساخينا" (@AkashSaxena21)
  • "جوشوا نات"
  • جاك ويتون (@fin1te)
  • "وارن دويل" (@wdoyle2)
  • أشيش كومار أغاروال (@ashishag29)
  • ماريك سوستاك (@mszustak)
  • غوان يونغ كيم (@sec_karas)
  • رعد فراس حداد (@raadfhaddad)
  • ريمي ماروت (@R_Marot)
  • فينيت كومار (@the_real_clown)
  • وين بين كونغ (@kongwenbin)
  • دور شهاف
  • على حسن غوري (@alihasanghauri)

الباحثون المشاركون في مجال أمن المعلومات - 2016

تود Netflix أن تشكر الباحثين التالي ذكرهم لمشاركتهم في برنامج الإفصاح المسؤول.

  • فريدريك نوردبيرج ألمروث (@almroot)
  • أوفر جاير (@ZigZag_IL)
  • دانييل بيكر (@jackds1986)
  • أحمد عادل عبد الفتاح (‎@00SystemError00)
  • مصطفى حسن (@strukt93)
  • جيراردو فينيجاس (@v0raz)
  • ميكولاج داديلا (@mik01aj)
  • مروان مدحت (@SpringStatue)
  • نيناد بوروفكانين (@nenad_b97)
  • برناردو دياز (@bada_77)
  • كادين سمنر (@CadenSumner)
  • ديفيد مور (@grajagandev)
  • إيريك هيد (@codecancare)
  • رسلان بخافالا (@ruslan_bakhvala)
  • روبرت آدم (@robertadam0)
  • بريت بورهاوس (@bbuerhaus)
  • بن ساديغيبور (@NahamSec)
  • جيك رينولدز (@jreynoldsdev)
  • محمد أمان خان (@khn_amn)
  • كيث جاردنر (@kreios4004)
  • أنس فالحي (@M0ti0nl3ss_)
  • جون بوتاريني (@jon_bottarini)
  • تيمو كارياينين (@NixuTigerTeam
  • تومي دي فوس (@thedawgyg)
  • دافيد مان (@stembrain)
  • أناند بهات (@_anandbhat)
  • شاي شافيت (@Chapakpuk)
  • دجبالا محمد طاهر (@Djaballah_Med_T)
  • راكيش شينا (@rakesh_3895)
  • نافتالي روزينباوم (بلا حساب Twitter)
  • أرين سوينين (‎@arneswinnen)
  • دافيد ويند (‎@slashcrypto)
  • مايكل كارلسون (‎@blainecarlson)
  • ياسين سليمان (‎@SecurityYasin)
  • أبنير ميندوزا
  • فاكبووم تشينبروتثيونج
  • سليمان مالك (‎@sulemanmalik_3)
  • على حسن غوري (@alihasanghauri)

الباحثون المشاركون في مجال أمن المعلومات - 2015

تود Netflix أن تشكر الباحثين التالي ذكرهم لمشاركتهم في برنامج الإفصاح المسؤول.

  • فريدريك نوردبيرج ألمروث (@almroot)
  • جوناثان كونلي
  • على حسن غوري (@alihasanghauri)
  • بهروز سدغيبور وباتريك فهرنباش (@NahamSec)
  • ستيفن تومكينسن (@neonbunny9)
  • ديفيد دوركن (@ddworken)
  • وايت رابيتز (GER)
  • كريستوفر بريسلي (@The_Beard_Lives)
  • @insaneasusual
  • مؤمن باسل (@MomenBassel)
  • جامو (@jamm0us)
  • مينتل (@ragezone)
  • فرانك بي فيكرز (@SarccastikDude)
  • أشهر جافد (@soaj1664ashar)
  • عبد الحفيظ آيات شيخ (@HafidAitChikh)
  • جويلامي بريور (@gplaurin)
  • جيسي كلارك (@Hogarth45_ND)
  • ريان بريستون (@ripr4p)
  • مايكل بريتورم (@gsocgsoc)
  • طود بيردسلي (@todb)

الباحثون المشاركون في مجال أمن المعلومات - 2014

تود Netflix أن تشكر الباحثين التالي ذكرهم لمشاركتهم في برنامج الإفصاح المسؤول.

  • على حسن غوري (@alihasanghauri)
  • كاميرون كرولي (@crowley_cam)
  • إس فينكيتش (@PranavVenkatS)
  • رودولفو جودال، جونيور (@rodgodalle)
  • غاريت كالبوزوس (@GCalps)
  • جيلرمو جابرين (@ggabarrin9)
  • كميل سيفي (@kamilsevi)
  • واقية وي حسن (@dowaqeeh)
  • جاريد بيري (@jared_perry)
  • روبرت ويليامسون (@bobbyman3)
  • بوراك بكير (@pr3d1c7)
  • أندرو نيكيلسي (@neculaesei)
  • كيتان سيريجيري (@Cigniti)
  • جينيش جورج (@g1n1_influenza)
  • دان سينجرمان (@dansingerman)
  • كينيث إف بيلفا (@infosecmaverick)
  • أكبر قرشي (@_AkbarQ)
  • Web Plus
  • سي إتش محمد أسامة (@ChMuhammadOsama)
  • نيتين جوبلاني (@nitingoplani88)
  • مارسين بيوسك (@piochu)
  • عبد الرازق واي إس (@Y33OULS)
  • هان لي (@_hanlee)
  • كاليب وات (@calebwatt15)
  • كريشنا شايتانيا كادابا (@cigniti)
  • جوستافو دي أوليفيرا (@highustavo)
  • سيرجيو جالان (@NaxoneZ)
  • رافائيل ستابلتن
  • كمينسانت (@psxchotic)
  • لويس نادو (@cybpoulet)
  • كايل ديفيدسون (@X942_Dev)
  • روبرت فيردرام (@robertverderame)
  • أوليفر بيج (@smiegles)
  • تيم جنسن (@timFGO)
  • روبرت دانيال (@_drxp)
  • دانيش طارق
  • جوستين كينيدي (@jstnkndy)
  • كريستوفر بريسلي (@The_Beard_Lives)
  • مالطي باترام (@_batram)
  • ديفيد ميدلهيرست (@dtmsecurity)
  • فرانسيسكو كوريا (@panchocosil)
  • محمد عبد الباسط النوبي (@SymbianSyMoh)
  • جاك (@linkcabin)
  • ديفيد فييرا-كورتس (@secalert)

الباحثون المشاركون في مجال أمن المعلومات - 2013

تود Netflix أن تشكر الباحثين التالي ذكرهم لمشاركتهم في برنامج الإفصاح المسؤول.

  • بول اسكوت
  • جال دابليو (@fin1te)
  • مورات صولجوفيتش
  • راكان العتيبي (@hxteam)
  • ريجينالدو سيلفا (@reginaldojsf)
  • رفاعي بلوش (@rafaybaloch)
  • كميل سيفي (@kamilsevi)
  • شيراغ ديوان (@ChiraghDewan)
  • فرانس روسين
  • صباري سيلفان (@EHackerNews)
  • آدم ذيجة (@adamziaja)
  • يوجي كوسجة (@yujikosuga)
  • ايمانويل برونشتاين (@e3amn2l)
  • سيدهش جاودي
  • مالطي باترام (@_batram)
  • أحمد أشرف (@yappare)
  • كاميلو جالدوس اكا ديدالوس (@SeguridadBlanca)
  • سيرجيو دراجوس بوجدان
  • أديتيا كيه سوود (@AdityaKSood)
  • موهنكمر فينجيتشلام (@vimokumar)
  • جوناثان كوسكوس (@johnathankuskos)
  • يفجيني إيرشوف (@EErchov)
  • ديلان إس هايلي (@TibitXimer)
  • راجات بهارجافا
  • إيهراز أحمد (@securityexe)
  • ابهيناف كارناوات (w4rri0r)
  • أجاي سينج نيجي (@AjaySinghNegi)
  • بيتر جاريك (@peterjaric)
  • ديفيد هويت (@cloudscan)
  • طارق صديقي
  • ديفيش بهات (@deveshbhatt11)
  • دفنسلي @Defencely
  • مات أشبورن @mattashburn
  • ياروسلاف أولينيك - أو جيه ايه (@oja_c7s)
  • روبيش ريدي ( _hck3r )
  • ستيوارت أندرسون (@StewieMAnderson)
  • فلوريندارك (@QuisterTow)
  • على حسن غوري (@alihasanghauri)
  • محمد شامير (@Shahmeer_Amir)