Legal
- Politique de Confidentialité
- Nothing Contest Terms & Conditions
- Conditions de Vente
- Accord de L'utilisateur
- Utilisation Acceptable
- Pre-order Non-refundable Deposit Agreement
- Politique de livraison
- Retour et remplacement
- Intellectual property rights
- Return/exchange Policy for Apparel
- Avis de confidentialité Nothing X
- Nothing X Conditions de service
- Politique de Confidentialité
- Nothing Contest Terms & Conditions
- Conditions de Vente
- Accord de L'utilisateur
- Utilisation Acceptable
- Pre-order Non-refundable Deposit Agreement
- Politique de livraison
- Retour et remplacement
- Intellectual property rights
- Return/exchange Policy for Apparel
- Avis de confidentialité Nothing X
- Nothing X Conditions de service
Rapport de vulnérabilité de sécurité
Soumission de vulnérabilité
Comment signaler une vulnérabilité de sécurité
Si vous avez une vulnérabilité de sécurité avec un produit ou une application Nothing, veuillez envoyer un e-mail à g_feedback@nothing.tech.Utilisez la clé PGP publique pour chiffrer les e-mails contenant des informations sensibles et pour vérifier que les communications de sécurité envoyées par Nothing sont authentiques.Date active : 4 juillet 2022Date d'expiration : N/AID de la clé : 0xA785B8AAType de clé : RSATaille de clé : 4096/4096Empreinte digitale : 96A4 6E60 11B0 32D9 8D54 B384 F6EF CEC6 A785 B8AAID de l'utilisateur : g_feedback@nothing.techDans votre e-mail, veuillez fournir les informations suivantes :Description détaillée du problèmeLes produits et versions des logicielsInformations sur les failles connuesCatégorie de vulnérabilitéTitre de la vulnérabilitéNom de domaineNiveau de vulnérabilitéDescription de la vulnérabilitéDétails supplémentairesPièces jointes (le cas échéant)Plan de réparationVeuillez détailler le processus de découverte du problème et son impact. Veuillez également inclure tout document de code source pertinent, captures d'écran ou vidéos. Si vous avez utilisé des outils de débogage lors du processus d'exploitation de la vulnérabilité, veuillez les télécharger en tant que pièces jointes. Si les outils sont trop volumineux, veuillez fournir un lien de téléchargement. De plus, veuillez fournir la preuve de concept ou la démonstration de la vulnérabilité.Remarque : le non-respect de ces exigences peut entraîner l'échec de l'examen de votre rapport.Une fois que nous aurons reçu votre rapport de vulnérabilité, nous compléterons le processus de vérification sous 30 jours ouvrables et nous vous répondrons par e-mail avec les résultats. Veuillez continuer à surveiller votre boîte e-mail pour les mises à jour.g_feedback@nothing.tech ne collecte que les vulnérabilités de sécurité liées aux produits Nothing. Si vous avez d'autres problèmes liés aux produits, vous pouvez nous contacter via notre page [contact us](https://nothing.tech/pages/contact-support).Récompenses de vulnérabilitéLes récompenses de vulnérabilité incitent les individus à signaler les vulnérabilités de sécurité. Les récompenses sont échelonnées en fonction des niveaux de vulnérabilité, les problèmes les plus critiques gagnant des récompenses plus élevées. Le tableau ci-dessous décrit les niveaux de vulnérabilité et les récompenses.Critique1000 $ - 2000 $Divulgation d'informations sensibles, accès non autorisé aux systèmes centraux ou à de grandes quantités d'informations sensibles, ultra vires sur des opérations sensibles.Élevé500 $ - 1000 $Vulnérabilités obtenant directement des autorisations, entraînant des fuites d'informations sensibles et le vol d'informations utilisateur internes.Moyen100 $ - 500 $Vulnérabilités nécessitant une interaction pour obtenir des autorisations, entraînant de graves fuites d'informations et le vol d'informations utilisateur internes.Faible20 $ - 100 $Seulement dans un environnement spécifique, les permissions d'accès peuvent entraîner des fuites d'informations, le vol de vulnérabilités d'informations utilisateur internes.Si le coupon de magasin n'est pas disponible dans votre région, nous le convertirons en d'autres récompenses au prorata.Les termes et conditions s'appliquent à tous les bons. Les montants et types de bons sont à la discrétion exclusive de Nothing.Avis :Les situations suivantes ne seront pas récompensées :Vulnérabilités non liées aux produits Nothing.Vulnérabilités rendues publiques avant d'être corrigées.Vulnérabilités déjà divulguées publiquement en ligne.Pour la même vulnérabilité, seul le premier rapporteur sera récompensé ; les reporters suivants ne recevront pas de récompense. Une vulnérabilité trouvée dans différentes versions est toujours considérée comme la même vulnérabilité.Les personnes exploitant des vulnérabilités pour nuire aux intérêts des utilisateurs, perturber les opérations commerciales ou voler des données utilisateur ne recevront aucune récompense. En outre, Nothing se réserve le droit de prendre des mesures juridiques supplémentaires.En participant au programme de soumission de vulnérabilités, vous reconnaissez et acceptez que toute récompense accordée est soumise aux termes et conditions de ce programme. Si les récompenses sont fournies sous forme d'argent ou sont autrement imposables, il est de votre responsabilité de respecter les lois fiscales locales et de déclarer et payer tout impôt applicable associé à la récompense reçue. Nothing n'est pas responsable des obligations fiscales individuelles pouvant survenir.En raison de restrictions légales, Nothing peut ne pas être en mesure de traiter les récompenses pour les pays/régions soumis à des sanctions.Les récompenses seront déclassées ou annulées dans les situations suivantes :Pour les informations avec des divergences sérieuses entre le titre et le contenu, le déclassement de la vulnérabilité sera effectué en conséquence, dans les cas graves les récompenses seront annulées.L'examen sera modéré en fonction de normes de rapport de haute qualité. Pour les rapports manquant de facteurs clés (description textuelle, preuve d'image, processus de test, interface de risque, paramètres, etc.), ayant une mise en page de rapport mal structurée et ne pouvant être reproduits de manière cohérente, ils seront déclassés/ignorés.Divulguer publiquement les détails des vulnérabilités sans l'autorisation de Nothing. Le cas échéant, Nothing se réserve le droit de récupérer les récompenses de vulnérabilité et de prendre des mesures juridiques appropriées, y compris chercher des dommages et intérêts et/ou une injonction.Pour la même URL, si plusieurs vulnérabilités existent dans plusieurs paramètres, les récompenses seront accordées en fonction d'une seule vulnérabilité et seront attribuées en fonction du degré de dommage le plus grand pour différents types.Plusieurs vulnérabilités générées par la même source sont comptées comme une seule vulnérabilité. Par exemple, plusieurs bugs de sécurité causés par le même JS, plusieurs bugs de sécurité de page causés par le même système de publication, des bugs de sécurité de l'ensemble du site causés par des frameworks, plusieurs bugs de sécurité générés par la résolution de nom de domaine, etc.Si vous soumettez plusieurs vulnérabilités dans le même rapport, nous vous récompenserons avec la vulnérabilité au niveau de dommage le plus élevé.Lors de la soumission d'une vulnérabilité, veuillez confirmer si elle aura un réel impact sur l'activité et soumettre une preuve de préjudice réel. Les dommages indirects ou spéculatifs ne seront pas pris en compte lors de la notation.## Cycle de distribution des récompenses :Nous distribuerons les récompenses sous 30 jours ouvrables après avoir terminé la vérification de la vulnérabilité par e-mail. Veuillez vérifier rapidement l'état de votre récompense.# Informations personnelles impliquées :Pour recevoir la récompense, vous devez fournir votre compte NOTHING.tech ou d'autres informations de compte. Cependant, nous ne demanderons aucune information personnelle supplémentaire pendant le processus de soumission de la vulnérabilité. Nous ne demanderons que votre adresse e-mail enregistrée pour la communication et les informations de compte enregistrées pour l'émission de la récompense.Nous accèderons, traiterons et partagerons vos informations personnelles conformément à notre politique de confidentialité. En participant, vous acceptez l'accès, l'utilisation et le partage de vos informations personnelles comme décrit ci-dessus et dans notre [Privacy Policy](https://intl.nothing.tech/pages/privacy-policy). Si vous avez des questions concernant cette politique de confidentialité ou sa mise en œuvre, voici comment nous contacter : Adresse e-mail : privacy@nothing.tech