ALL

LV:
Programma ALL - CERT.LV Klientūras ievainojamības paredzēta ievainojamību ziņošanai par resursiem, kuri nav iekļauti citās cvd.cert.lv platformā reģistrētajās programmās.

Šādā gadījumā CERT.LV atbildīgais darbinieks izvērtēs reģistrēto ievainojamības ziņojumu, identificēs resursa pārzini, informēs to par atklāto ievainojamību un koordinēs tālāko ievainojamības novēršanu, ja nepieciešams.

EN:
Program ALL - CERT.LV Client Vulnerabilities is intended for reporting vulnerabilities related to resources that are not included in other programs registered on the cvd.cert.lv platform.

In such cases, the responsible CERT.LV employee will evaluate the submitted vulnerability report, identify the administrator of the affected resource, inform them about the discovered vulnerability, and, if necessary, coordinate further steps for its remediation.

LV:
Publiskotajā ALL programmā ir tiesības piedalīties jebkuram (reģistrētam vai nereģistrētam) drošības pētniekam (DP).

Šādā gadījumā CERT.LV atbildīgais darbinieks izvērtēs reģistrēto ievainojamības ziņojumu, identificēs resursa pārzini, informēs to par atklāto ievainojamību un koordinēs tālāko ievainojamības novēršanu, ja nepieciešams.

Aicinām drošības pētniekus ziņot par ievainojamībām, iesniedzot ziņojumu platformā un iekļaujot ziņojumā šādu informāciju:

• ievainojamības konstatēšanas datums un laiks;
• ziņas par informācijas sistēmu vai elektronisko sakaru tīklu, kurā konstatēta ievainojamība;
• ievainojamības konstatēšanai izmantotās metodoloģijas vai veikto darbību secības aprakstu (piemēram, reāla uzbrukuma scenāriju);
• citas ziņas, ko ievainojamības atklāšanas ziņojuma iesniedzējs uzskata par nepieciešamām konstatētās ievainojamības identificēšanai un novēršanai (piemēram, saiti, ekrānuzņēmumu vai citu informāciju, kas palīdz atkārtot ievainojamību).

Informācija drošības pētniekam:

• ziņojumi, kas atbilst “Zemas ietekmes ievainojamības, kas netiek akceptētas” iekļautajiem kritērijiem var tikt noraidīti;
• informācija par pamatotiem ievainojamības ziņojumiem, tiek nodota resursa turētājam;
• informācija par atklāto ievainojamību ir ierobežotas pieejamības informācija, atsevišķos gadījumos normatīvie akti var paredzēt augstāku klasifikācijas pakāpi;
• visas iesaistītas puses ir atbildīgas par informācijas neizpaušanu, līdz brīdim, kamēr nav panākta vienošanās par ievainojamības publicēšanu daļējā vai pilnā apjomā;
• ievainojamība nedrīkst tikt izmantota ļaunprātīgi:
  • ievainojamību nedrīkst izmantot, lai piekļūtu vai mēģinātu piekļūt informācijai, izņemot tikai minimālā apjomā, kas nepieciešams ievainojamības esamības pierādīšanai;
  • neizmantot ievainojamību, lai izgūtu, grozītu vai dzēstu informāciju;
  • nemēģināt ietekmēt pakalpojumu pieejamību, izmantojot pakalpojuma atteices uzbrukumus (DoS vai DDoS);
  • neveikt sociālās inženierijas un paroļu minēšanas uzbrukumus.
• Pateicības rakstus ziņotājiem CERT.LV izsniedz par ziņojumiem ar ietekmes vērtējumu vidējs, augsts, kritisks.

EN:
Any security researcher has the right to participate in the publicly available ALL program.

The employee of CERT.LV will evaluate the registered vulnerability report, identify the resource administrator, inform them about the discovered vulnerability, and coordinate further vulnerability remediation, if necessary.

We encourage security researchers to report vulnerabilities by submitting a report through the platform, including the following information in the report:

• the date and time the vulnerability was discovered;
• information about the information system or electronic communications network where the vulnerability was identified;
• description of the methodology used to discover the vulnerability or the sequence of actions performed (for example, a real attack scenario);
• any other information the reporter considers necessary for identifying and resolving the discovered vulnerability (for example, a link, screenshot, or other data that helps reproduce the vulnerability).

Information for Security Researchers:

• Reports meeting the criteria specified in “List of low impact vulnerabilities that will be rejected” may be subject to rejection;
• information from substantiated vulnerability reports will be forwarded to the resource owner;
• information about discovered vulnerabilities is considered restricted-access information, in certain cases, legal acts may prescribe a higher classification level;
• all involved parties are responsible for maintaining confidentiality until an agreement has been reached regarding partial or full public disclosure of the vulnerability;
• vulnerabilities must not be exploited maliciously:
  • vulnerabilities must not be used to access or attempt to access information, except to the minimal extent necessary to demonstrate the existence of the vulnerability;
  • vulnerabilities must not be used to extract, alter, or delete information;
  • do not attempt to affect service availability through denial-of-service attacks (DoS or DDoS);
  • do not engage in social engineering or password guessing attacks.
• CERT.LV issues letters of appreciation to reporters for reports with an impact rating of medium, high, or critical.

We will appreciate it if you do not publicly disclose the vulnerability before the resource administrator has fixed it.