English
Bezpečnostní tým

Nux s.r.o. CSIRT

CSIRT (Computer Security Incident Response Team) je bezpečnostní tým, který řeší kybernetické bezpečnostní incidenty týkající se služeb poskytovaných námi spravovanými společnostmi a zajišťuje dohled nad kybernetickou bezpečností IT infrastruktury.

Kontakty CSIRT

E-mail
csirt@nux.cz
PGP

PGP ID klíče: 0xE2E296B8435B47F4

Otisk: 274E 05C1 3B76 3AD4 5597 4210 E2E2 96B8 435B 47F4

Telefon

Telefon (po – pá 8–18): +420 250 250 500

Uživatelské problémy / helpdesk

Řešíte-li uživatelský problém s aplikací nebo vaším účtem, změny, obnovy nebo zapomenuté heslo, či problémy s doručováním či odesíláním e-mailů, prosím obraťte se na náš helpdesk (nikoliv na CSIRT tým).

Helpdesk

Rozsah působnosti

CSIRT tým dohlíží na:

Interní IT infrastruktura společností

  • Nux s.r.o.
  • 2 digital s.r.o.
  • Webkeeper s.r.o.
  • tvmen s.r.o.

Provoz serverů v jednotlivých datacentrech

Provoz a dohled nad servery, které zajišťují chod služeb výše uvedených společností a jejich zákazníků.

Služby DNS serverů

  • ns1.nux.cz
  • ns2.nux.eu
  • ns3.nux.cloud

Aplikační služby poskytované zákazníkům

Webové a serverové aplikace provozované v rámci spravované infrastruktury.

Oblasti spravované infrastruktury

IPv4 rozsahy

  • 80.95.247.208/28
  • 80.95.253.48/28
  • 80.95.253.64/27
  • 80.95.253.128/28
  • 89.233.129.0/27
  • 89.233.129.64/27
  • 89.233.137.32/27
  • 89.233.139.96/27
  • 193.86.126.96/27
  • 212.67.65.128/28

IPv6 rozsahy

— zatím nedefinováno —

Domény

Domény registrované na držitele NUX (Nux s.r.o.).

Kontakty pro hlášení zranitelností

Pro hlášení bezpečnostních incidentů a bug reportů nás kontaktujte na e-mailu CSIRT týmu. Pro citlivá sdělení využijte PGP.

CSIRT kontakt

PGP

PGP ID klíče: 0xE2E296B8435B47F4

Otisk: 274E 05C1 3B76 3AD4 5597 4210 E2E2 96B8 435B 47F4

Telefonický kontakt

Telefon (po – pá 8–18):
+420 250 250 500

Telefon slouží pro urgentní hlášení bezpečnostních incidentů v rámci spravované infrastruktury.

Responsible Disclosure Program

Bezpečnost našich systémů, zákaznických dat a infrastruktury je pro nás zásadní. Pokud identifikujete bezpečnostní zranitelnost týkající se systémů společnosti Nux s.r.o., budeme rádi za její zodpovědné nahlášení. Tato stránka definuje pravidla spolupráce mezi bezpečnostními výzkumníky a společností Nux.

Scope – co je v rozsahu testování

Do rozsahu odpovědného testování spadají:

  • Produkční služby (webové aplikace, API) provozované společností Nux s.r.o.
  • Systémy, které jsou veřejně dostupné z internetu a jednoznačně patří Nux s.r.o. Pokud si nejste jistí, jaké povahy je konkrétní systém, kontaktujte nás před zahájením testování.

Out of Scope

  • Vývojové, testovací nebo staging prostředí
  • Subdomény bez aktivní služby
  • Systémy třetích stran (hosting, CDN, SaaS poskytovatelé)
  • Cloud infrastruktura provozovaná třetí stranou mimo přímou správu Nux s.r.o.
  • Zaměstnanecké e-mailové účty
  • OSINT nálezy bez reálného bezpečnostního dopadu

Zakázané aktivity

Bez předchozího písemného souhlasu CSIRT Nux je zakázáno:

  • DoS / DDoS útoky nebo záměrné přetěžování infrastruktury
  • Automatizované skenování s vysokou intenzitou, které může ovlivnit dostupnost služeb
  • Sociální inženýrství vůči zaměstnancům nebo partnerům
  • Pokusy o fyzický přístup do prostor společnosti
  • Úmyslná exfiltrace, mazání nebo modifikace dat
  • Přístup k datům jiných zákazníků
  • Testování mimo definovaný scope

Testování musí být prováděno způsobem, který minimalizuje dopad na dostupnost a integritu služeb.

Co typicky nepovažujeme za zranitelnost

  • Missing security headers bez možnosti zneužití
  • Informace o verzi serveru
  • SPF / DKIM / DMARC misconfiguration bez zneužitelnosti
  • Self-XSS
  • Clickjacking bez citlivého kontextu
  • Rate limiting issues bez reálného dopadu
  • Best practice doporučení bez konkrétního exploitu

Jak reportovat zranitelnost

Report by měl obsahovat:

  • Detailní popis zranitelnosti
  • Kroky k reprodukci
  • Očekávané vs. skutečné chování
  • Dopad na bezpečnost (confidentiality / integrity / availability)
  • Případné PoC (bez zveřejnění citlivých dat)

Safe Harbor

Pokud budete jednat v dobré víře, v rámci definovaného scope a bez způsobení úmyslné škody, společnost Nux s.r.o. proti vám nepodnikne právní kroky a bude spolupracovat na nápravě zranitelnosti.

Koordinované zveřejnění

  • Potvrzení přijetí reportu: do 48 hodin
  • První vyhodnocení: do 5 pracovních dnů
  • Standardní doba pro opravu a zveřejnění: 90 dní
  • Zveřejnění zranitelnosti je možné pouze po vzájemné dohodě.

Odměny

Společnost Nux s.r.o. může udělit finanční odměnu za závažné bezpečnostní zranitelnosti. Odměna je určována individuálně podle závažnosti (CVSS), dopadu a kvality reportu.

Závažnost Příklad Orientační odměna
Kritická RCE, auth bypass, privilege escalation >20 000 CZK
Vysoká SQLi, IDOR with sensitive data exposure 10 000 - 20 000 CZK
Střední Stored XSS, významný CSRF 3 000 – 10 000 CZK
Nízká Reflected XSS with limited impact 1 000 – 3 000 CZK

Vyhrazujeme si právo odměnu neudělit, pokud zranitelnost nesplňuje kritéria programu.