NOTHING (R)
0

法的情報

法的情報
  1. プライバシーポリシー
  2. Nothing Contest Terms & Conditions
  3. 販売条件
  4. 配送条件
  5. ユーザー規約
  6. 利用規定
  7. 特定商取引法に基づく表記
  8. 製品保証
  9. セキュリティ脆弱性報告
  10. Return/Exchange Policy for Apparel
  11. Nothing X サービス条項
  12. Nothing Xプライバシー公告

セキュリティ脆弱性報告

 脆弱性の提出

 セキュリティ脆弱性問題の報告方法Nothing製品またはアプリケーションにセキュリティ脆弱性の問題が発生した場合、g_feedback@nothing.tech までメールを送信してください。特に機密情報を含むメールは、公開PGP鍵を使用して暗号化し、Nothingから送られるセキュリティ通信が正当であることを確認してください。有効日: 2022年7月4日有効期限: 該当なし鍵ID: 0xA785B8AA鍵タイプ: RSA鍵サイズ: 4096/4096フィンガープリント: 96A4 6E60 11B0 32D9 8D54 B384 F6EF CEC6 A785 B8AAユーザーID: g_feedback@nothing.techメールには以下の情報を含めてください:

  • 問題の詳細な説明
  •  製品およびソフトウェアのバージョン
  •  既知のエクスプロイトに関する情報
  • 脆弱性のカテゴリ
  •  脆弱性のタイトル
  • ドメイン名
  • 脆弱性レベル
  • 脆弱性の説明
  • 追加の詳細
  •  添付ファイル(あれば)
  • 修正計画

 

問題を発見したプロセスとその影響を詳細に説明してください。また、関連するコードソースのドキュメント、スクリーンショット、またはビデオを含めてください。脆弱性のエクスプロイト中にデバッグツールを使用した場合は、それらを添付ファイルとしてアップロードしてください。ツールが大きすぎる場合は、ダウンロードリンクを提供してください。また、脆弱性の概念実証またはエクスプロイトも提供してください。

 

注意: これらの要件を満たさない場合、レポートが審査プロセスを通過しない可能性があります。

脆弱性レポートを受け取った後、30営業日以内に確認プロセスを完了し、その結果を脆弱性のメールに返信いたします。更新情報をお見逃しのないよう、メールを引き続きチェックしてください。

g_feedback@nothing.tech はNothing製品に関連するセキュリティ脆弱性のみを収集します。他の製品に関連する問題がある場合は、contact us ページからご連絡ください。

脆弱性報奨金

脆弱性報奨金は、セキュリティ脆弱性を報告するインセンティブとして提供されます。報酬は、脆弱性レベルに基づいて層別されており、より重大な問題にはより高い報酬が与えられます。以下の表は、脆弱性レベルと報酬を示しています。

**クリティカル**

$1000 - $2000

機密情報の開示、コアシステムまたは大量の機密情報への不正アクセス、機密操作の無権限実行。

**高**

$500 - $1000

権限を直接取得する脆弱性、機密情報の漏洩、および内部ユーザー情報の盗難。

**中**

$100 - $500

権限を取得するために相互作用が必要な脆弱性、重大な情報漏洩、内部ユーザー情報の盗難。

**低**

$20 - $100

特定の環境でのみ、アクセス権限が情報漏洩や内部ユーザー情報の盗難につながる脆弱性。

ストアクーポンが地域で利用できない場合は、他の報酬に比例配分で変換されます。すべてのバウチャーには条件が適用されます。バウチャーの金額と種類はNothingの独自の裁量によります。

注意事項:

以下の状況では報酬は支給されません:

  1.  Nothing製品に関連しない脆弱性。
  2.  修正される前に公開された脆弱性。
  3. オンラインで公に開示された脆弱性。
  4. 同じ脆弱性に対しては、最初の報告者のみが報酬を受け取ることができます。それ以降の報告者には報酬が支給されません。異なるバージョンで見つかった脆弱性も同じ脆弱性とみなされます。
  5. 脆弱性を利用してユーザーの利益を害したり、業務を妨害したり、ユーザーデータを盗む行為を行った者には、報酬は支給されません。また、Nothingはさらなる法的措置を取る権利を留保します。
  6. 脆弱性提出プログラムに参加することで、与えられる報酬は本プログラムの利用規約に従うことに同意したものとみなされます。報酬が現金で提供される場合や課税対象となる場合、地元の税法を遵守し、受け取った報酬に関連する税金を申告し、支払う責任は参加者にあります。Nothingは個々の税務義務に責任を負いません。
  7. 法律上の制約により、制裁対象国/地域に対しては報酬を処理できない場合があります。

以下の状況では報酬が減額されるかキャンセルされます:

  1. タイトルと内容に重大な不一致がある情報の場合、脆弱性はランクダウンされ、重大な場合は報酬がキャンセルされます。
  2. 高品質な報告基準に基づいて審査が行われます。重要な要素(テキスト説明、画像証拠、テストプロセス、リスクインターフェース、パラメータなど)が欠けている報告、構造化が不十分な報告、再現性が一貫しない報告はランクダウンまたは無視されます。
  3. Nothingの許可なしに脆弱性の詳細を公に開示すると、Nothingは脆弱性報酬を回収し、適切な法的措置を講じる権利を留保します。

 

同じURLに対して、複数のパラメータに類似した脆弱性がある場合、一つの脆弱性として報酬が与えられ、異なる種類の脆弱性に対しては最も被害が大きいものに基づいて報酬が与えられます。 

同じソースから生成された複数の脆弱性は、一つの脆弱性としてカウントされます。例えば、同じJSによる複数のセキュリティバグ、同じパブリッシングシステムによる複数のページセキュリティバグ、フレームワークによる全ステーションのセキュリティバグ、ドメイン名解決による複数のセキュリティバグなどです。  同じレポートで複数の脆弱性を提出する場合、最も重大な被害レベルの脆弱性に対して報酬が支払われます。

脆弱性を提出する際には、ビジネスに実際に影響を与えるかどうかを確認し、実際の被害の証拠を提出してください。間接的な被害や推測的な被害は評価の際に考慮されません。

報酬配布サイクル:

脆弱性の確認が完了次第、30営業日以内にメールで報酬を配布いたします。報酬のステータスを適時に確認してください。

関連する個人情報:

報酬を受け取るためには、NOTHING.tech アカウントやその他のアカウント情報を提供する必要があります。ただし、脆弱性提出プロセス中に追加の個人情報を要求することはありません。通信のために登録されたメールアドレスと報酬発行のために登録されたアカウント情報のみを必要とします。

お客様の個人情報は、当社のプライバシーポリシーに従ってアクセス、処理、および共有されます。参加することで、上記およびPrivacy Policyに記載された個人情報のアクセス、利用、および共有に同意したものとみなされます。このプライバシーポリシーまたはその実施について質問がある場合は、次の方法でお問い合わせください: メールアドレス: privacy@nothing.tech

1