English
Bezpečnostní tým

Nux s.r.o. CSIRT

CSIRT (Computer Security Incident Response Team) je specializovaný bezpečnostní tým společnosti Nux s.r.o., odpovědný za detekci, analýzu a řešení kybernetických bezpečnostních incidentů v rámci definovaného rozsahu působnosti. CSIRT zajišťuje průběžné monitorování bezpečnosti, koordinaci řešení incidentů a ochranu IT infrastruktury spravovaných organizací. Zároveň působí jako centrální kontaktní bod pro hlášení bezpečnostních incidentů a zranitelností.

Jsme členy TF-CSIRT (Trusted Introducer), evropské komunity akreditovaných CSIRT a PSIRT týmů. Toto členství nám umožňuje důvěryhodné sdílení informací o hrozbách, koordinaci řešení incidentů na mezinárodní úrovni a získávání včasných varování o nově vznikajících bezpečnostních rizicích.

Primární kontakt

Kontakt CSIRT

Hlášení bezpečnostních incidentů, koordinace a obecná komunikace s týmem.

E-mail
csirt [at] nux.cz
PGP

PGP ID klíče: 0xE2E296B8435B47F4

Otisk: 274E 05C1 3B76 3AD4 5597 4210 E2E2 96B8 435B 47F4

Preferovaným komunikačním kanálem je e-mail. Pro citlivá sdělení doporučujeme použití PGP šifrování. Pro sdílení informací o incidentech používáme standard TLP (Traffic Light Protocol).

Hlášení zranitelností

Bezpečnostní zranitelnosti

Pro hlášení zranitelností v rámci našeho Responsible Disclosure programu používejte výhradně tuto adresu — nikoliv csirt@nux.cz.

E-mail
security [at] nux.cz
PGP

PGP ID klíče: 0x9822C75134722D33

Otisk: 2D4C 7711 7D27 3652 6303 163D 9822 C751 3472 2D33

Před odesláním si prosím prostudujte rozsah programu.

Nahlásit zranitelnost

Uživatelské problémy / helpdesk

Řešíte uživatelský problém, změnu hesla nebo problém s e-mailem? Obraťte se prosím na náš helpdesk — nikoliv na CSIRT tým.

Helpdesk

Telefonický kontakt

Telefon (po – pá 8–18):

+420 250 250 500

Telefon slouží pro urgentní hlášení bezpečnostních incidentů v rámci spravované infrastruktury.

Rozsah působnosti

CSIRT tým dohlíží na:

Interní IT infrastruktura společností

  • Nux s.r.o.
  • 2 digital s.r.o.
  • Webkeeper s.r.o.
  • tvmen s.r.o.

Provoz serverů v jednotlivých datacentrech

Provoz a dohled nad servery, které zajišťují chod služeb výše uvedených společností a jejich zákazníků.

Služby DNS serverů

  • ns1.nux.cz
  • ns2.nux.eu
  • ns3.nux.cloud

Aplikační služby poskytované zákazníkům

Webové a serverové aplikace provozované v rámci spravované infrastruktury.

Oblasti spravované infrastruktury

IPv4 rozsahy

  • 80.95.247.208/28
  • 80.95.253.48/28
  • 80.95.253.64/27
  • 80.95.253.128/28
  • 89.233.129.0/27
  • 89.233.129.64/27
  • 89.233.137.32/27
  • 89.233.139.96/27
  • 193.86.126.96/27
  • 212.67.65.128/28

Domény

Domény registrované na držitele NUX (Nux s.r.o.).

Hlášení zranitelností — podrobně

Pro hlášení bezpečnostních zranitelností používejte výhradně adresu security [at] nux.cz. Tato adresa je dedikovaná pro Responsible Disclosure program a oznámení odsud směřují přímo do našeho ticketingu.

Před odesláním oznámení si prosím prostudujte scope programu — abyste věděli, co je v rozsahu testování, jaké aktivity jsou zakázané a co by mělo oznámení obsahovat. Pro citlivá sdělení doporučujeme použít PGP šifrování (klíč viz výše).

Pro urgentní hlášení v rámci spravované infrastruktury můžete využít také telefonickou linku +420 250 250 500 (po – pá 8–18).

csirt

Politika odpovědného zveřejňování (Responsible Disclosure)

Bezpečnost našich systémů, zákaznických dat a infrastruktury je pro nás prioritou. Vítáme odpovědné nahlášení zranitelností týkajících se systémů v našem rozsahu působnosti. Tato stránka definuje pravidla spolupráce mezi bezpečnostními výzkumníky a společností Nux s.r.o.

Rozsah — co je zahrnuto

Do rozsahu odpovědného testování spadají:

  • Produkční služby (webové aplikace, API) provozované společností Nux s.r.o.
  • Systémy veřejně dostupné z internetu, které jsou jednoznačně vlastněné nebo provozované společností Nux s.r.o.

V případě nejasností ohledně rozsahu nás prosím kontaktujte před zahájením testování.

Mimo rozsah

  • Vývojová, testovací nebo staging prostředí
  • Subdomény bez aktivní služby
  • Systémy třetích stran (hosting, CDN, SaaS poskytovatelé)
  • Cloudová infrastruktura mimo přímou správu Nux s.r.o.
  • Zaměstnanecké e-mailové účty
  • OSINT nálezy bez prokazatelného bezpečnostního dopadu

Zakázané aktivity

Bez předchozího písemného souhlasu CSIRT Nux je zakázáno:

  • Provádění DoS / DDoS útoků nebo úmyslné narušování dostupnosti služeb
  • Automatizované skenování s vysokou intenzitou ovlivňující provoz
  • Sociální inženýrství vůči zaměstnancům nebo partnerům
  • Pokusy o fyzický přístup do prostor společnosti
  • Neoprávněný přístup k datům, jejich exfiltrace, úprava nebo mazání
  • Přístup k datům jiných zákazníků
  • Testování mimo definovaný rozsah

Testování musí být prováděno tak, aby minimalizovalo dopad na dostupnost, integritu a důvěrnost služeb.

Co typicky nepovažujeme za zranitelnost

Pokud není doložen reálný dopad:

  • Chybějící bezpečnostní hlavičky bez prokazatelné zneužitelnosti
  • Zveřejnění verze serveru
  • Nesprávná konfigurace SPF / DKIM / DMARC bez možnosti zneužití
  • Self-XSS
  • Clickjacking bez citlivého kontextu
  • Nedostatečné omezení počtu požadavků (rate limiting) bez reálného dopadu
  • Obecná doporučení bez konkrétního exploitu

Jak nahlásit zranitelnost

Oznámení by mělo obsahovat:

  • Detailní popis zranitelnosti
  • Kroky k reprodukci
  • Očekávané a skutečné chování
  • Dopad na bezpečnost (důvěrnost, integrita, dostupnost)
  • Případný proof of concept (bez zveřejnění citlivých dat)

Safe Harbor (bezpečný přístav)

Pokud budete jednat v dobré víře, v rámci definovaného rozsahu a bez způsobení úmyslné škody, společnost Nux s.r.o. proti vám nepodnikne právní kroky a bude s vámi spolupracovat na nápravě zranitelnosti.

Koordinované zveřejnění

  • Potvrzení přijetí oznámení: do 48 hodin
  • První vyhodnocení: do 5 pracovních dnů
  • Standardní doba pro nápravu a zveřejnění: 90 dní
  • Zveřejnění zranitelnosti je možné pouze po vzájemné dohodě.

Odměny

Společnost Nux s.r.o. může udělit finanční odměnu za významné bezpečnostní zranitelnosti. Výše odměny je stanovena individuálně podle závažnosti (CVSS), dopadu a kvality oznámení.

Závažnost Příklad Orientační odměna
Kritická RCE, obejití autentizace, eskalace oprávnění > 20 000 CZK
Vysoká SQL injection, IDOR s únikem citlivých dat 10 000 – 20 000 CZK
Střední Stored XSS, významný CSRF 3 000 – 10 000 CZK
Nízká Reflected XSS s omezeným dopadem 1 000 – 3 000 CZK

Vyhrazujeme si právo odměnu neudělit, pokud oznámení nesplňuje kritéria programu.