HackPP

Bezpieczne Systemy
Politechniki Poznańskiej

Cel projektu

Głównym celem projektu „hackPP” jest wykrycie luk w zabezpieczeniach systemów wdrożonych na Politechnice Poznańskiej. Jeśli zidentyfikujesz błąd bezpieczeństwa – wynagrodzimy Ci to!

Czytaj dalej »

Udział

Wzięcie udziału w projekcie „hackPP” jest dobrowolne. Podlega ono warunkom prawnym, które wyszczególnione są w regulaminie. Przystępujący do projektu zobowiązuje się go przestrzegać.

Czytaj dalej »

Kodeks postępowania

Zgłoszenia zawierające podatności o wysokim wpływie oraz luki w zabezpieczeniach, które wpływają na integralność lub prywatność danych użytkownika są punktowane.

Czytaj dalej »

Co można zgłosić?

Projekt „hackPP” jest przeznaczony do błędów związanych z bezpieczeństwem. Możesz zgłosić dowolną liczbę słabych punktów w naszych systemach. Jeśli zauważysz podatność, skontaktuj się z nami.

Czytaj dalej »

Ujawnianie informacji

W ramach działania projektu „hackPP” możesz zgłosić dowolną liczbę podatności w naszych systemach politechnicznych. Jeśli znalazłeś lukę bezpieczeństwa skontaktuj się z nami jak najszybciej!

Czytaj dalej »


1. Cel projektu

Bezpieczeństwo jest dla nas najwyższym priorytetem. Bardzo poważnie podchodzimy do tematu wszelkich podatności we wdrożonych przez nas rozwiązaniach. Chcemy w jak największym stopniu usunąć podatności, które mogą wpłynąć na bezpieczeństwo danych naszych użytkowników i funkcjonowanie systemów, infrastruktury i procesów. Wiemy też, że nie walczymy sami.

Żadna technologia nie jest idealna. Doceniamy chęć współpracy z osobami, które mogą wspomóc identyfikację problemów bezpieczeństwa informatycznego. Głównym celem projektu „hackPP” jest wykrycie luk w zabezpieczeniach systemów wdrożonych na Politechnice Poznańskiej. Jeśli zidentyfikujesz błąd bezpieczeństwa – wynagrodzimy Ci to!

Istnieje ogromna społeczność osób zajmujących się bezpieczeństwem IT, którzy są zaangażowani w ten sam cel. Jeśli zajmujesz się bezpieczeństwem, praktykujesz odpowiedzialne ujawnianie podatności przy zachowaniu naszych zasad – zapraszamy! Program kierujemy m.in. dla studentów Uczelni. Imię, nazwisko lub pseudonim każdego kto zgłosi podatność, a która zostanie pozytywnie rozpatrzona będą wyróżnione na stronie internetowej jako odkrywcy luki w zabezpieczeniach. Dzięki temu każdy będzie miał możliwość pochwalenia się np. pracodawcy o takim osiągnięciu.

Dodatkowo dla tych, którzy studiują na Politechnice Poznańskiej i pomogą nam wyeliminować poważne błędy proponujemy 3 miesięczny staż, który przeprowadzą wykwalifikowani administratorzy na co dzień zajmujący się infrastrukturą Politechniki Poznańskiej. Jeśli chcesz poznać nasze systemy od wewnątrz, zachęcamy do poszukiwań! Razem możemy więcej!

 

2. Udział

Wzięcie udziału w projekcie „hackPP” jest dobrowolne. Podlega ono warunkom prawnym, które wyszczególnione są w regulaminie. Osoba, która przystępuje do projektu potwierdza, że przeczytała i zgadza się na postanowienia określone w zakresie projektu „hackPP” i zobowiązuje się ich przestrzegać.

Dane osobowe odkrywcy wykorzystamy tylko do podjęcia działań na podstawie zgłoszenia. Nie będziemy udostępniać danych osobowych bez wyraźnej zgody (np. ewentualne umieszczenie na stronie internetowej).

 

3. Kodeks postępowania

a. Kryteria kwalifikacji podatności

W celu zakwalifikowania się, aby otrzymać nagrodę należy spełnić następujące wymagania:

Zgłoszenia  zawierające podatności o wysokim wpływie oraz luki w zabezpieczeniach, które wpływają na  integralność lub prywatność danych użytkownika są punktowane. Niektóre cechy brane pod uwagę przy „kwalifikujących się” podatnościach obejmują te, które:

b. Co jest zabronione

Głównym celem jest przestrzeganie zasad, dlatego:

Zabronione jest ujawnianie wszelkich luk w zabezpieczeniach lub podejrzanych podatności odkrytych przez inne osoby bez wcześniejszej pisemnej zgody administratorów Politechniki Poznańskiej. Nie ma prawa ujawniania treści zgłoszeń do projektu „hackPP” bez zgody Politechniki poznańskiej.

Zabronione jest działanie w ramach inżynierii społecznej (np. wyłudzanie informacji,) z dowolnego punktu np. pracownika czy studenta Politechniki Poznańskiej. Testujemy systemy, a nie ludzi.

Ekstrakcja danych jest surowo zabroniona. Należy wykorzystywać minimum niezbędne do zweryfikowania błędów.

Działania zabronione:

 

4. Co można zgłosić?

Nasz projekt „hackPP” jest przeznaczony wyłącznie do błędów związanych z bezpieczeństwem. Możesz zgłosić dowolną liczbę słabych punktów w naszych systemach. Jeśli zauważysz podatność, skontaktuj się z nami jak najszybciej. Przykładami są:

 

5. Wytyczne ujawniania informacji o lukach w zabezpieczeniach

a. Proces ujawniania informacji o lukach

Zgłaszając luki w zabezpieczeniach, musisz najpierw podać dane, dzięki którym będziemy mogli się skontaktować. Opisując lukę, ważne jest, aby zawrzeć wszystkie niezbędne szczegóły wymagane do odtworzenia problemu.

b. Przykładowy raport

W ramach działania projektu „hackPP” możesz zgłosić dowolną liczbę podatności w naszych systemach politechnicznych. Jeśli znalazłeś lukę bezpieczeństwa skontaktuj się z nami jak najszybciej!

Zgłoszenie luki odbywa się poprzez wiadomość e-mail obsługiwaną całą dobę pod adresem hackpp@put.poznan.pl.

W formularzu ważne jest podanie takich informacji jak:

Chcemy uhonorować Twoje pozytywne działania dla Uczelni i poprawy jakości bezpieczeństwa naszych rozwiązań. Każdy kto zgłosi  podatność i zostanie ona pozytywnie rozpatrzona zostanie wyróżniony na stronie internetowej jako odkrywca luki w zabezpieczeniach.

Opisz znalezioną lukę najbardziej szczegółowo jak to możliwe. Przedstaw dowody, które uda się Tobie zebrać.

Przykładowy opis powinien zawierać:

Przesłany raport musi być szczegółowy i możliwy do odtworzenia. Inaczej nie zostanie on nagrodzony.

W przypadku duplikatów nagradzamy pierwszy otrzymany raport dla danej luki bezpieczeństwa.

Nie ujawniaj publicznie żadnych problemów związanych z bezpieczeństwem bez zgody administratorów Uczelni.

Jeśli przypadkowo spowodujesz naruszenie lub zakłócenie prywatności (takie jak dostęp do danych konta, konfiguracji usług lub innych poufnych informacji) podczas badania problemu, daj nam znać w swoim raporcie.