מדיניות גילוי אחראי של פגיעויות אבטחה
Responsible Disclosure Policy
1. מבוא
חברת קונטרול טכנולוגיות כ.א בע"מ (להלן "החברה" או "Kontrol") מחויבת לאבטחת המידע של לקוחותיה ושל המערכות שלה. אנו מעריכים את תרומתם של חוקרי אבטחה ומומחי סייבר המסייעים לנו לשפר את האבטחה שלנו.
מדיניות זו מגדירה את הדרך בה ניתן לדווח לנו על פגיעויות אבטחה באופן אחראי.
2. היקף (Scope)
מערכות בהיקף המדיניות:
- אתר האינטרנט:
homekontrol.net
- תתי-דומיינים של האתר
מחוץ להיקף המדיניות:
- אפליקציית Keenon: האפליקציה לניהול רובוטי הניקיון מסופקת ומתוחזקת על ידי Keenon Robotics ואינה באחריות Kontrol. פגיעויות באפליקציה יש לדווח ישירות ל-Keenon.
- קושחת הרובוטים (Firmware): באחריות היצרן Keenon.
- שירותי צד שלישי: כל שירות חיצוני שאינו בבעלות Kontrol.
- התקפות פיזיות: גישה פיזית למתקנים או ציוד.
- הנדסה חברתית: התקפות על עובדים או לקוחות.
3. סוגי פגיעויות שמעניינות אותנו
- פגיעויות SQL Injection
- פגיעויות Cross-Site Scripting (XSS)
- פגיעויות Cross-Site Request Forgery (CSRF)
- פגיעויות אימות והרשאות (Authentication/Authorization)
- חשיפת מידע רגיש
- פגיעויות Server-Side Request Forgery (SSRF)
- פגיעויות Remote Code Execution (RCE)
- פגיעויות בהעלאת קבצים
4. פגיעויות מחוץ להיקף
הפגיעויות הבאות אינן בהיקף המדיניות:
- התקפות מניעת שירות (DoS/DDoS)
- ספאם או הנדסה חברתית
- פגיעויות בתוכנות צד שלישי שאינן בשליטתנו
- פגיעויות הדורשות גישה פיזית למכשיר
- בעיות תצורה של TLS/SSL שאינן ניתנות לניצול
- דפי שגיאה חושפים גרסאות תוכנה בלבד
- חסרון של Rate Limiting ללא הוכחת ניצול
- בעיות Self-XSS
5. כיצד לדווח
דוא"ל לדיווח אבטחה:
security@homekontrol.net
בעת דיווח על פגיעות, אנא כללו:
- תיאור הפגיעות: הסבר ברור של הבעיה שנמצאה.
- צעדים לשחזור: הוראות מפורטות לשחזור הפגיעות.
- הוכחת קונספט (PoC): צילומי מסך, קוד, או סרטון המדגימים את הפגיעות.
- השפעה פוטנציאלית: תיאור הסיכון והנזק האפשרי.
- הצעה לתיקון: אם יש לכם המלצה לתיקון (אופציונלי).
6. התחייבויותינו
מה אנחנו מתחייבים:
- אישור קבלה: נאשר קבלת הדיווח תוך 3 ימי עסקים.
- הערכה ראשונית: נספק הערכה ראשונית תוך 10 ימי עסקים.
- עדכונים: נעדכן אתכם על התקדמות הטיפול בפגיעות.
- תיקון: נתקן פגיעויות קריטיות בהקדם האפשרי.
- קרדיט: נעניק קרדיט פומבי (אם תרצו) לאחר תיקון הפגיעות.
7. כללי התנהגות
על מנת שנוכל לטפל בדיווח שלכם, אנא הקפידו על הכללים הבאים:
- אל תגרמו נזק: אין לנצל את הפגיעות מעבר לנדרש להוכחת קיומה.
- אל תיגשו למידע שאינו שלכם: אם נתקלתם במידע של משתמשים אחרים, הפסיקו מיד.
- שמרו על סודיות: אל תפרסמו את הפגיעות עד שנתקנה.
- תקשורת ישירה: דברו איתנו ישירות, לא דרך גורמים חיצוניים.
- תנו לנו זמן: אפשרו לנו זמן סביר לתקן לפני פרסום.
8. Safe Harbor
אם תפעלו בהתאם למדיניות זו ובתום לב:
- לא ננקוט נגדכם בהליכים משפטיים בגין המחקר.
- נתייחס למחקר שלכם כפעילות מורשית.
- נעבוד איתכם להבין ולתקן את הבעיה.
הגנה זו אינה חלה על הפרות של החוק או על פעולות שגרמו נזק למערכות או למשתמשים.
9. תוכנית Bug Bounty
נכון לעכשיו, אין לנו תוכנית Bug Bounty פעילה עם תגמול כספי. אנו מעריכים מאוד את התרומה של חוקרי אבטחה ונעניק קרדיט פומבי למדווחים (בהסכמתם) לאחר תיקון הפגיעות.
10. יצירת קשר
לשאלות בנושא מדיניות זו או לדיווח על פגיעות:
- אבטחה:
security@homekontrol.net
- כללי:
business@homekontrol.net
מדיניות זו עודכנה לאחרונה: דצמבר 2025