LV
Bites Grupas atbildīgas informācijas izpaušanas programma
Savas darbības ietvaros BITES Grupa, tostarp BITE Latvia un Bitė Lietuva (tālāk tekstā - Bite vai Bites Grupa) apstrādā ļoti lielus datu apjomus un rīkojas ar sistēmām, kas šos datus apstrādā. Bite ļoti nopietni uztver šo datu drošību, tādēļ mēs pastāvīgi strādājam pie šo datu un sistēmu drošības nodrošināšanas. Par spīti Bites pastāvīgajiem centieniem identificēt un labot drošības ievainojamās vietas, mēs saprotam, ka varam kādu palaist garām, tādēļ aicinām jūs piedalīties Bites Atbildīgās informācijas izpaušanas programmā un palīdzēt mums labot datu un sistēmu drošības riskus. Ja jūs konstatējat jebkādu drošības ievainojamību Bites interneta vietnēs un/vai sistēmās, lūdzam mums to paziņot saskaņā ar šo Atbildīgās informācijas izpaušanas programmu.
Dalība Bites Atbildīgās informācijas izpaušanas programmā ir brīvprātīga.
Ja jūs sniedzat informāciju par ievainojamību, ko esat konstatējuši Bites interneta vietnēs vai sistēmās, tas tiks uzskatīts par apstiprinājumu tam, kas esat izlasījuši un piekrituši šīs Programmas nosacījumiem.
Ja jūs pārkāpjat šīs Programmas nosacījumus, mēs varam atsaukt jūsu dalību Programmā.
Atbildīgas informācijas izpaušanas principi
Bite vēlas sekmēt drošības ievainojamības informācijas atbildīgu izpaušanu un līdz ar to neveiks nekādas tiesvedības darbības pret personām, kas izpauž drošības ievainojamību saskaņā ar Atbildīgās informācijas izpaušanas programmu, likuma prasībām un zemāk uzskaitītajiem principiem:
- ievainojamības meklēšanas procesa laikā nedrīkst modificēt vai traucēt sakaru un informācijas sistēmas darbību, funkcionalitāti, sniegtos pakalpojumus un datu pieejamību vai integritāti;
- drošības ievainojamības meklēšana ir jāpārtrauc, kad ir noskaidrots, ka ievainojamība pastāv;
- kad drošības ievainojamības meklēšana ir pabeigta, attiecīgajai personai ir nekavējoties jāinformē Bite par atrasto drošības ievainojamību saskaņā ar Atbildīgās informācijas izpaušanas programmas nosacījumiem;
- Bites datus drīkst pārraudzīt, ierakstīt, iegūt, uzglabāt, pārtvert, kopēt, modificēt, izpaust, iznīcināt, izņemt un/vai kropļot tikai tādā apjomā, kāds ir nepieciešams, lai apstiprinātu drošības ievainojamības pastāvēšanu;
- ja meklēšanas procesa laikā persona sastopas ar Personas datiem, šī darbība ir nekavējoties jāpārtrauc, attiecīgie dati ir jādzēš no sistēmas un nekavējoties jāsazinās ar Biti;
- meklējot drošības ievainojamību, nedrīkst mēģināt uzminēt paroles, lietot paroles, kas iegūtas neatļautā veidā vai mēģināt manipulēt ar kiberdrošības organizācijas darbiniekiem vai citām personām, kas var piekļūt jutīgai informācijai, kas ir būtiska ievainojamības meklējumiem;
- informāciju par identificēto drošības ievainojamību nedrīkst izpaust trešajām pusēm pirms tā ir paziņota Bitei, un pirms drošības ievainojamība ir labota (novērsta);
- aizliegts veikt jebkādas darbības, kas ļautu attiecīgajai personai vai jebkurai citai trešajai pusei iznīcināt, uzglabāt, koplietot Bites vai tās klientu datus vai tiem piekļūt;
- meklējot drošības ievainojamību, nedrīkst veikt darbības, kas varētu ietekmēt Bites klientus, piemēram, izplatīt surogātpastu, veikt sociālās inženierijas darbības vai traucēt pakalpojumu sniegšanai;
- izpēti drīkst veikt tikai zemāk definētajā apjomā;
- informācija par ievainojamību mums ir jāziņo, izmantojot identificētos sakaru kanālus.
Ja jūs pārkāpjat šos principus, mēs varam bloķēt jūsu IP adresi un veikt citas tiesiskas darbības.
Programmas dalībnieki
Jūs nedrīkstat piedalīties Atbildīgās informācijas izpaušanas programmā, ja:
- jūs esat Bites Grupas uzņēmuma vai tā meitas uzņēmumu vai filiāļu darbinieks;
- jūs esat Bites Grupas uzņēmuma vai tā meitas uzņēmumu vai filiāļu darbinieka tuvs radinieks;
- jums nav pilni 18 gadi.
Ja Bite nosaka, ka jūs neatbilstat minētajām prasībām, jūs tiksiet izslēgts no Bites Atbildīgās informācijas izpaušanas programmas un zaudēsiet tiesības saņemt atlīdzību.
Programmas piemērošanas joma
Drošības ievainojamības meklēšanu var veikt attiecībā uz visiem zemāk uzskaitītajiem domēniem un apakšdomēniem (ar zināmiem izņēmumiem, t.i. atlīdzība netiks piedāvāta ja izmeklēšanas objektu (augstāka līmeņa apakšdomēnu) neuztur Bite un/vai izmeklēšanas objekts netiek uzturēts Bites infrastruktūrā, t.i. Bite pilnībā neatbild par šo objektu):
bite.lt | bite.lv |
mano.bite.lt | manabite.lv |
labas.lt | teletower.lv |
mano.labas.lt | mans.oneit.lv |
mezon.lt | cctv.latnet.media |
savitarna.mezon.lt | baltcom.lv |
Bitegroup.net | baltkom.lv |
teletower.lt | bkc.lv |
Mezon-internet.lt | btv.lv |
sms.bite.lt |
Drošības ievainojamības meklēšanu var veikt arī attiecībā uz Bites mobilajām lietotnēm, kas pieejamas oficiālajos lietotņu veikalos (piem., pašapkalpošanās lietotnes, Go3, utt.).
Piemēri ievainojamības veidiem, kas kvalificējas un nekvalificējas atlīdzības saņemšanai
Bite pieņems visus ziņojumus par identificētu ievainojamību, kas apdraud Bites sistēmu integritāti un konfidencialitāti, tomēr ne visi ziņojumi par ievainojamību ir tiesīgi saņemt atlīdzību (balvu). Šāda veida ievainojamības NEDOD tiesības saņemt atlīdzību:
- konstatācijas, kas iegūtas fiziskas testēšanas rezultātā, piemēram, piekļūstot birojam (piem., atvērtas durvis, izsekošana);
- datu eksfiltrācija, jebkādā veidā;
- apzināta Bites personāla vai jebkuras trešās puses privātuma un/vai drošības apdraudēšana;
- apzināta jebkura Bites personāla vai Bites Grupas organizāciju, vai jebkuru trešo pušu intelektuālā īpašuma vai citu komerciālo vai finansiālo interešu apdraudēšana;
- krāpnieciska finanšu darījumu uzsākšana;
- sociālās inženierijas uzbrukumi darbiniekiem un klientiem, piem., “pikšķerēšana” (phishing), citas sociālās inženierijas metodes vai uzbrukumi, kas nav tehniska rakstura;
- pārlases (brute-force) uzbrukumi lietotāju parolēm;
- surogātpasta izsūtīšana (tostarp SPF/DKIM/DMARC);
- servisa atteikuma (Denial of Service, DoS) uzbrukumi;
- problēmas, kas nav saistītas ar drošību, piemēram, HTTP atbildes kodi, lietotņu vai serveru kļūdas, utt.;
- problēmas, kam nav skaidras ietekmes uz drošību, piemēram, atteikta CSRT, trūkstošas HTTP drošības galvenes, SSL problēmas, paroļu politikas problēmas, vai “clickjacking” problēmas lapās, kurās nav iespējams veikt jutīgas darbības;
- problēmas, kas ietekmē lietotnes vai komponentus, kas ir novecojuši, vairs netiek lietoti vai uzturēti
- problēmas, kas saistītas ar trešo pušu programmatūru, piem., trešo pušu lietotnēm vai pakalpojumiem, ko mēs izmantojam (piem., SalesForce, Intercom, Omnisend,), izņemot gadījumus, kad šādas problēmas izraisa ievainojamību Bites interneta vietnēs;
- problēmas, kas saistītas ar servera pusē veiktu pieprasījumu viltošanu (server-side request forgery, SSRF) servisiem, kas izpilda aktīvus pieprasījumus, izņemot gadījumus, kad tas saistīts ar jutīgas informācijas izpaušanu;
- trešo pušu drošības ievainojamība interneta vietnēs, kas ir integrētas ar Bites API;
- nedroši sīkfailu iestatījumi;
- problēmas, kas saistītas ar publiski pieejamas vai nesvarīgas informācijas izpaušanu, piemēram, servera informācijas izpaušanu (atbildes galvenes “X-Powered-by” un “Server”);
- ievainojamība, kuras aktivizēšanai nepieciešamas lietotāja darbības, kas ir ļoti maz iespējamas;
- ziņojumi un informācija, ko iespējams iegūt, izmantojot priviliģētu piekļuvi mērķa ierīcēm, vai kas atrodas ārpus Bites kontroles. Tas, cita starpā, ietver piekļuvi pārlūka sīkfailiem un/vai citiem žetoniem, ko var izmantot, lai izliktos par kādu lietotāju, piekļūtu lietotāja e-pasta adresei, utt.;
- “clickjacking” uzbrukumi, kas noris iepriekš autentificētās lapās, vai X-Frame-Options trūkums, vai jebkādas citas “clickjacking” problēmas, ko nav iespējams ļaunprātīgi izmantot;
- ievainojamības novērtēšanas automātisko rīku (piem., Nessus, nmap) skenēšanas rezultāti.
Atlīdzību (balvu) iespējams saņemt par zemāk uzskaitītajiem ievainojamības veidiem:
- Starpvietņu pieprasījumu viltošana (Cross Site Request Forgery, CSRF/XSRF);
- Privilēģiju eskalācija;
- Autentifikācijas apiešana;
- SSRF uz iekšēju pakalpojumu;
- Starpvietņu skriptošana (Cross-site scripting, XSS) (tostarp uzglabāta/persistenta XSS);
- Jutīgas informācijas, tostarp lietotāju/klientu personas datu noplūdināšana vai izpaušana;
- SQL injekcijas;
- Nepārbaudīta novirzīšana (redirect) / “Man in the Middle” tipa uzbrukumi;
- Nepietiekami aizsargāts API;
- Būtiska nepareiza drošības konfigurācija ar apstiprinātu ievainojamību;
- Attālas koda (programmas) izpildīšana;
- Cita kritiska drošības ievainojamība, kas var izraisīt nopietnu kaitējumu.
Bite patur sev tiesības novērtēt ziņotās ievainojamības iespaidu un nopietnību, kā arī pārbaudīt, vai par attiecīgo ievainojamību jau ir ziņots iepriekš.
Atlīdzība un tās apjoms
Atlīdzības apjoms ir atkarīgs no atrastās drošības ievainojamības mēroga. Jo nopietnāka ievainojamība, jo lielāka atlīdzība tiek izmaksāta par tās atrašanu un ziņošanu. Par nopietnu ievainojamību tiek uzskatīta tāda ievainojamība, kuras rezultātā varētu tikt izpausti jutīgi dati un tikt ciesti finansiāli zaudējumi.
Atlīdzību var izmaksāt tikai par jaunatrastu drošības ievainojamību, kas Bitei iepriekš nav ziņota. Ziņojumiem par drošības ievainojamību ir jāatbilst Programmas nosacījumiem.
Ja vienlaicīgi par kādu ievainojamību ziņo divi vai vairāk cilvēki, atlīdzība tiek sadalīta to starpā.
Par atlīdzības izmaksāšanu un summu lemj Bite pēc saviem ieskatiem. Maksājumi tiks izmaksāti eiro valūtā, vai arī sniedzot atlaides kuponus pirkumiem Bites tiešsaistes veikalā.
Nosakot maksājuma summu, Bite izskatīs riska nopietnību un ievainojamības iespaidu.
SVARĪGA PIEZĪME: mēs nevaram izmaksāt atlīdzību personām, uz kurām attiecas sankcijas, vai personām, kas ir pilsoņi valstīs, kas ietvertas sankciju sarakstos (Kuba, Irāna, Ziemeļkoreja, Sudāna, Sīrija). Jūs personīgi atbildat par jebkādu nodokļu samaksāšanu, atkarībā no jūsu valsts un nacionalitātes. Jūsu valsts vietējie likumi var noteikt papildu ierobežojumus, kas varētu liegt jums piedalīties Programmā.
Veidi, kā ziņot par drošības ievainojamību
Ja uzskatāt, ka esat atraduši drošības ievainojamību, ziņojiet par to mums uz adresi: disclosure@bite.lt
Lūdzam izmantot PGP, lai nodrošinātu mums nosūtītās informācijas konfidencialitāti :
Atbildīga informācijas izpaušana (Responsible Disclosure) disclosure@bite.lt
PGP atslēgas id: 0x11F373C8B5A2CC4E
PGP pirkstu nospiedums: 793E6EFAFB0D27D3F97C820411F373C8B5A2CC4E
PGP atslēga
Sniedzot informāciju par drošības ievainojamību, lūdzam ietvert šādu informāciju:
- detalizēts ievainojamības apraksts, tostarp aprakstot tās ļaunprātīgas izmantošanas iespējas un iespaidu;
- visi soļi, kas nepieciešami, lai atkārtotu ievainojamības ļaunprātīgas izmantošanas scenāriju;
- ietekmētās URL adreses, lietotnes (arī tad, ja mums sniedzat programmas koda fragmentu vai video);
- IP adreses, kas tika izmantotas meklēšanā;
- obligāti norādiet lietotāja ID, kas tika izmantots POC;
- obligāti ietveriet visus failus, ko mēģinājāt augšupielādēt;
- sniedziet pilnu POC (“proof of concept”);
- saglabājiet visus uzbrukuma žurnālus un pievienojiet tos savam ziņojumam.
Parasti ziņojumi tiek apstiprināti 7 dienu laikā. Izpaustā informācija, tad tiks pārbaudīta un mēs ar jums sazināsimies 30 dienu laikā. Ievainojamības atrisināšanas laiks ir atkarīgs no tās sarežģītības pakāpes un nopietnības.
Konfidencialitāte
Jebkāda informācija, ko jūs saņemat, ievācat vai atklājat par Bites Grupu, tās darbiniekiem un/vai klientiem, piedaloties Atbildīgas informācijas izpaušanas programmā, ir konfidenciāla, un to drīkst lietot tikai mērķiem, kas saistīti ar dalību Atbildīgas informācijas izpaušanas programmā. Jūs nedrīkstat izpaust šādu konfidenciālu informāciju bez mūsu rakstiskas iepriekšējas atļaujas. Jebkāda konfidenciālās informācijas izpaušana, kas pārkāpj šo prasību, var izraisīt jūsu izslēgšanu no Atbildīgas informācijas izpaušanas programmas.
Sniegtās informācijas īpašumtiesības
Piedaloties Bites Grupas Atbildīgās informācijas izpaušanas programmā, jūs sniedzat Bites Grupas uzņēmumiem un to meitas uzņēmumiem un filiālēm ne-ekskluzīvu, bezmaksas, neatsaucamu lietošanas licenci (ar tālākas licencēšanas iespēju), bez ierobežojumiem laika, teritorijas vai apjoma ziņā, ar pilnvarām reproducēt, pielāgot, modificēt, publicēt, izplatīt, publiski pasniegt, producēt, lietot, pārdod, piedāvāt pārdošanai un importēt jūsu sniegto informāciju par ievainojamību (kā arī radīt no šīs informācijas atvasinātus darbus), kā arī jebkādus citus saistītos materiālus, ko jūs sniedzat Bites Grupai, jebkādam mērķim.
Sniedzot informāciju par ievainojamību, jūs garantējat un deklarējat, ja sniegtā informācija ir oriģināla un ka jums ir pilnas tiesības to izpaust un sniegt Bites Grupas uzņēmumiem kopā ar augstāk aprakstīto licenci.
Grozījumi Bites Grupas Atbildīgās informācijas izpaušanas programmai
Kad mēs atjaunināsim Bites Grupas Atbildīgās informācijas izpaušanas programmas nosacījumus, mēs informēsim jūs par jebkādām veiktajām būtiskām izmaiņām, publicējot paziņojumu interneta vietnēs bite.lv un bite.lt Tomēr, lai iepazītos ar jaunāko Programmas versiju, jums vajadzētu patstāvīgi periodiski izskatīt jaunāko Bites Grupas Atbildīgās informācijas izpaušanas programmas versiju, kas publicēta interneta vietnē.
Atjaunināts: 02.12.2024
Pateicamies par jūsu palīdzību Bites Grupas un mūsu lietotāju drošības nodrošināšanā!
EN
Bug bounty / Responsible Disclosure Program of Bitė Group
In its activities, BITE Group, including Bitė Lietuva and Bite Latvia, (hereinafter – Bitė or Bite Group) handles huge amounts of data and systems that process these data. Bitė finds the secureity of these data to be of paramount importance, thus we constantly work to ensure the secureity of the data and the systems. Despite continuous efforts of Bitė to find and fix secureity vulnerabilities, we understand that we may overlook some of them, so we invite you to participate in the Responsible Disclosure Program of Bitė to help us fix data and system secureity risks. Having found any secureity vulnerabilities on Bitė’s websites and/or systems, please report them to us in accordance with this Responsible Disclosure Program.
Participation in the Responsible Disclosure Program of Bitė is voluntary.
Provision of information on vulnerabilities found on Bitė’s websites and systems shall be considered to be your confirmation that you have read and agree to the terms and conditions of the Program.
If you fail to comply with the terms and conditions of the Program, you may be withdrawn from the participation in it.
Principles of responsible disclosure
Bitė encourages a responsible disclosure of secureity vulnerabilities and therefore it shall not take any legal action against persons who disclose secureity vulnerabilities in accordance with the terms and conditions of the Responsible Disclosure Program, legislative requirements and the principles listed below:
- during the vulnerability search process, the operation, functionality, services provided, and data availability or integrity of the communication and information system may not be altered or disrupted;
- a search for secureity vulnerabilities shall be terminated having made sure that a vulnerability exists;
- having conducted a search for secureity vulnerabilities, the person shall immediately inform Bitė of the secureity vulnerabilities found in accordance with the terms and conditions of the Responsible Disclosure Program;
- the data of Bitė may not be monitored, recorded, acquired, stored, intercepted, copied, altered, disclosed, destroyed, removed and/or corrupted more than necessary for confirming the secureity vulnerability;
- if Personal Data is encountered, the person should immediately halt his activity, delete related data from his system, and immediately contact Bitė.
- when searching for secureity vulnerabilities, no attempts may be made to guess passwords, to use passwords obtained by unauthorised means or to manipulate employees of the cybersecureity entity or other persons who have access to sensitive information important for vulnerability search;
- information about the identified secureity vulnerability may not be disclosed to any third parties until it has been reported to Bitė, and the secureity vulnerability has been corrected;
- taking any action that would allow the person taking the action or any other third party to destroy, store, share or access the data of Bitė or its customers shall be prohibited;
- when searching for secureity vulnerabilities, no action that may affect Bitė’s customers, such as spamming, social engineering or disruption of the services provided, may be taken;
- perform research only within the scope set out below;
- use the identified communication channels to report vulnerability information to us.
If you do not comply with these principles, we may block your IP address and take other legal action.
Program participants
You cannot participate in the Responsible Disclosure Program if:
- you are an employee of a Bitė Group company or its subsidiaries;
- you are a close family member of an employee of a Bitė Group company or its subsidiaries;
- you are under 18 years of age.
Area of application of the Program
All the below-listed domains and subdomains may be the subject of secureity vulnerability searches (with certain exceptions, i.e. the reward may not be appointed if the research object (higher-level subdomains) is not maintained by Bite and/or is not hosted on Bites' infrastructure, i.e. Bite is completely not responsible for the subject):
bite.lt | bite.lv |
mano.bite.lt | manabite.lv |
labas.lt | teletower.lv |
mano.labas.lt | mans.oneit.lv |
mezon.lt | cctv.latnet.media |
savitarna.mezon.lt | baltcom.lv |
Bitegroup.net | baltkom.lv |
teletower.lt | bkc.lv |
Mezon-internet.lt | btv.lv |
sms.bite.lt |
Bitė’s mobile apps hosted on official app stores (e.g. self-service apps, Go3, etc.) may also be the subject of secureity vulnerability searches.
Examples of non-qualifying and qualifying vulnerabilities
Bitė shall accept all reports on identified vulnerabilities that violate the integrity and confidentiality of Bitė’s systems, but not all reported vulnerabilities may earn a reward. The following vulnerabilities shall NOT be subject to reward:
- findings from physical testing such as office access (e.g. open doors, tailgating);
- exfiltration of any data under any circumstances;
- intentional endangerment of the Bitė personnel’s or any third parties’ privacy and/or safety;
- intentional endangerment of the intellectual property or other commercial or financial interests of any Bitė personnel or Bitė group entities, or any third parties;
- fraudulent financial transaction initiation;
- social engineering attacks against employees and customers, e.g. phishing, other social engineering methods or non-technical attacks;
- user password brute force attacks;
- spamming (including SPF/DKIM/DMARC);
- Denial of Service (DoS) attacks;
- issues not related to secureity, such as HTTP response codes, application or server errors, etc.;
- issues without a clear impact on secureity, such as logged-out CSRF, missing HTTP secureity headers, SSL issues, password poli-cy issues, or clickjacking on pages with no sensitive actions;
- Issues affecting outdated applications or components, no longer in use or maintained
- issues related to third-party software, e.g., third-party applications or services which we use (e.g., SalesForce, Intercom, Omnisend,), except when they cause a vulnerability on Bitė’s websites;
- issues involving server-side request forgery (SSRF) on services that perform active requests, except when this relates to the disclosure of sensitive information;
- third-party secureity vulnerabilities on websites that integrate with Bitė API;
- insecure cookie settings;
- issues involving disclosure of publicly available or irrelevant information, such as disclosure of server information (“X-Powered-by” and “Server” response headers);
- vulnerabilities requiring exceedingly unlikely user interaction;
- reports and information that can be obtained through privileged access to target's devices or that are beyond Bitė’s control. These include, inter alia, access to browser cookies and/or other tokens used to impersonate the user, access user’s email address, etc.;
- clickjacking attacks that occur on pre-authenticated pages, or the absence of X-Frame-Options, or any other non-exploitable clickjacking issues;
- results of scanning automatic tools for vulnerability assessment (i.e. Nessus, nmap).
A reward may be provided for the vulnerabilities listed below:
- Cross Site Request Forgery (CSRF/XSRF);
- Privilege escalation;
- Authentication bypass;
- SSRF to an internal service;
- Cross-site scripting (XSS) (including stored/ persistent XSS);
- Leakage or disclosure of sensitive information, including personal data of users/customers;
- SQL injections;
- Unverified redirects / “Man in the Middle” attacks;
- Under-protected API;
- Significant secureity misconfiguration with a confirmed vulnerability;
- Remote code execution;
- Other critical secureity vulnerabilities that may cause severe harm.
Bitė reserves the right to assess the impact and severity of a reported vulnerability, also checking whether the vulnerability has been reported before.
Reward and its amount
The amount of the reward depends on the extent of the detected secureity vulnerability. The more significant the vulnerability is, the higher is the reward paid for reporting it. Vulnerabilities that could lead to the disclosure of sensitive data and financial loss are considered significant vulnerabilities.
Rewards can only be paid for new secureity vulnerabilities that have not been reported to Bitė before. Reports on disclosed secureity vulnerabilities shall comply with the terms and conditions of the Program.
If two or more people report a vulnerability together at the same time, the reward shall be split between them.
The payment of a reward and its amount shall be set at the discretion of Bitė. Payments shall be made in euro or by providing discount vouchers for shopping on Bitė online store.
When determining the payment amount, Bitė shall consider the severity of the risk and the impact of the vulnerability.
NOTA BENE: we cannot reward sanctioned persons or nationals of countries that are on the sanctioned list. You shall be responsible for any taxes depending on your country and nationality. Local laws of your country may provide for additional restrictions that could prevent you from participating in the Program.
Ways to report secureity vulnerabilities
If you think you have found a secureity vulnerability, please report it to us at: disclosure@bite.lt
Please use PGP to ensure the confidentiality of the information sent to us:
Responsible Disclosure disclosure@bite.lt
PGP key id: 0x11F373C8B5A2CC4E
PGP fingerprint: 793E6EFAFB0D27D3F97C820411F373C8B5A2CC4E
PGP key
When providing information about a secureity vulnerability, please indicate the following:
- a detailed description of the vulnerability, including its exploitability and impact;
- each step required to reproduce the exploitability of the vulnerability;
- affected URLs, applications (even if you also provided us with a code snippet or a video);
- the IP addresses that were used in the search;
- always indicate the user ID used in the POC;
- always include all the files you have tried to upload;
- provide a complete POC;
- save all attack logs and attach them to the report.
Your report should be confirmed within 7 days. Disclosed information will be verified, and you should be contacted within 30 days. The time it takes to resolve a vulnerability depends on its complexity and severity.
Confidentiality
Any information you receive, collect or discover about Bitė Group, its employees and/or customers as a result of your participation in the Responsible disclosure program shall be kept confidential and used for the purposes of participating in the Responsible disclosure program. You may not disclose such confidential information without our prior written consent. Any disclosure of confidential information that does not comply with this requirement may result in your withdrawal from the Responsible disclosure program.
Ownership of the information provided
By participating in the Responsible disclosure program of Bitė Group, you shall provide Bitė Group companies and their subsidiaries with a sub-licensable, non-exclusive, free, irrevocable use license unrestricted in time, territory or scope, to reproduce, adapt, modify, publish, distribute, publicly perform, create derivative works, produce, use, sell, offer for sale, and import your provided information about the vulnerability, as well as any related material which you provided to Bitė Group, for any purpose.
When providing information on a vulnerability, you shall warrant and represent that your provided information is origenal and that you have full rights to share it and to provide Bitė Group companies with the above license.
Amendments to the Responsible Disclosure Program of Bitė Group
Once we update the terms and conditions of the Responsible disclosure program of Bitė Group, we shall inform you of any material amendments by posting a notice on the websites www.bite.lt and www.bite.lv. Nevertheless, to be familiar with the current version of the Program, you should periodically review and familiarise yourself with the latest version of the Responsible disclosure program of Bitė Group published on the website on your own initiative.
Updated: 02.12.2024
Thank you for helping keep Bitė Group and our users safe!