Responsible Disclosure Policy
Dentsu Aegis Network (DAN) believes that everybody should be safe and secure on the Internet. DAN is committed to maintaining the security of our assets, systems, and customers’ information.  If any potential vulnerabilities are identified in any product, system, or asset belonging to DAN, we encourage security researchers to contact us as soon as possible. If you believe you have identified a potential security vulnerability, please submit it in accordance with our Responsible Disclosure Program.  

Thank you in advance for your submission. DAN does not operate a public bug bounty program and will not provide a reward or compensation in exchange for reporting potential issues. 

Responsible Disclosure Program Guidelines
Researchers shall ensure that when in the process of disclosing potential vulnerabilities they:

  • Do not engage in any activity that can cause potential or actual harm to DAN, DAN customers, or DAN employees.  
  • Do not engage in any activity that can potentially or actually degrade DAN services or assets or cause them to stop entirely. 
  • Do not engage in any activity that violates (a) applicable laws or regulations or (b) the laws or regulations of any country where (i) data, assets or systems reside, (ii) data traffic is routed or (iii) the researcher is conducting research activity 
  • Do not engage in any activity that puts DAN in violation of any (a) applicable laws or regulations or (b) the laws or regulations of any country where (i) data, assets or systems reside, (ii) data traffic is routed or (iii) the researcher is conducting research activity. 
  • Do not store, share, compromise or destroy DAN or any customer data. If any Personal Information is identified, you should immediately stop the activity, remove related data from your system, and immediately contact DAN. This is important for protecting any potentially vulnerable data, and you. 
  • Do not initiate a fraudulent financial transaction. 
  • Do not disclose any reported issues to third parties, or publish such reported issues publicly 

By acting in accordance with the guidelines above and responsibly submitting your findings to DAN, DAN agrees not to pursue legal action against you unless it is compelled to do so by a regulatory authority, other third party, or applicable laws 

Once a report is submitted, DAN commits to provide prompt acknowledgement of receipt of all reports (in any event, within 5 business days of submission).  Where possible, DAN shall use commercially reasonable endeavours to keep you reasonably informed of the status of any validated vulnerability that you report through this program 

 Submission Format
When reporting a potential vulnerability, please include a detailed summary of the vulnerability. This shall include the following:  

  • The target  
  • The steps 
  • The tools 
  • The artefacts  
  • You may include screen captures to illustrate detail.  

Out of Scope Vulnerabilities 
Certain vulnerabilities are considered out of scope for our Responsible Disclosure Program. Out-of-scope vulnerabilities include, but are not limited to: 

  • Physical testing of premises 
  • Social engineering. For example, attempts to steal cookies, fake login pages to collect credentials 
  • Phishing 
  • Denial of service attacks 
  • Resource Exhaustion Attacks 

 Please submit your report to: ResponsibleDisclosure@Dentsuaegis.com


Политика за отговорно оповестяване на информация
Ние в Dentsu Aegis Network (DAN) вярваме, че сигурността в Интернет трябва да бъде гарантирана на всеки. Нашата цел е да осигурим пълна сигурност на собствените си активи и системи, както и информацията на нашите потребителите. В случай, че откриете слабост в наш продукт, система или файл, Ви молим да се свържете с нас възможно най-скоро. Ако мислите, че сте открили потенциална слабост в сигурността, моля сигнализирайте ни съгласно Програмата ни отговорно оповестяване на информация.

Предварително благодарим за Вашите сигнали. DAN не работи с публични програми за откриване на грешки и не предоставяме възнаграждение или компенсации в замяна на сигнал за потенциални проблеми.

Насоки за отговорно оповестяване на информация
Проверяващите трябва да гарантират, че когато са в процес на разкриване на потенциални уязвими места, те:

  • Няма да предприемат дейности под никаква форма, които могат да причинят потенциална или реална вреда на DAN, потребителите или служителите на DAN.
  • Няма да предприемат дейности, които биха могли или ще доведат до влошаване на услугите или ресурсите на DAN или които ги спират изцяло.
  • Няма да предприемат дейности, които нарушават (a) приложими закони или регулации или (b) законите или регулациите в която и да е страна, в която (i) данните, ресурсите или системите се помещават, (ii) трафика на данни се осъществява или (iii) където проучващият открива проблема
  • Няма да предприемат никакви дейности, които поставят DAN в ситуация, в която компанията нарушава (a) приложими закони или регулации или (b) законите или регулациите в която и да е страна, в която (i) данните, ресурсите или системите се помещават, (ii) трафика на данни се осъществява или (iii) където проучващият открива проблема.
  • Няма да съхраняват, споделят, компроментират или унищожават каквито и да било данни на потребителите. Ако бъдат идентифицирани лични данни, трябва незабавно да преустановите дейността, да изтриете данните от носителите на информация и да се свържете незабавно с DAN. Това е важно, за да защитите всички потенциално уязвими данни и себе си.
  • Не осъществяват измамни финансови транзакции.
  • Не разкриват идентифицирани проблеми на трети страни, както и не ги обявяват публично.

Съобразявайки се с гореспоменатите насоки за отговорно оповестяване на информация и предавайки информацията на DAN, компанията се съгласява да не предприема законови действия срещу Вас, освен ако не е задължена да го направи от регулаторен орган, трети лица и/или приложими закони.

При изпращане на такова становище, DAN ще потвърди, че го е получил (в рамките на пет работни дни след получаването). Където е приложимо, DAN ще се погрижи да Ви държи в течение за статуса на всяка слабост, която сте открили и докладвали чрез програмата.

Формат на предаване
Когато подавате сигнал за потенциална слабост, моля обобщете я детайлно. В описанието трябва да присъства следната информация:

  • Целта
  • Стъпките
  • Инструментите
  • Предмета или предметите
  • Можете да направите снимка на екрана или да илюстрирате детайл.

Слабости извън Програмата за отговорно оповестяване на информация
Някои слабости могат да излизат извън обхвата на Програмата ни за отговорно оповестяване на информация. Такива са следните видове дейности и не само:

  • Физически тестове на инфраструктура
  • Социално инженерство, например, опити за открадване на бисквитки, фалшиви страници за присвояване на пароли и потребителски имена
  • Фишинг
  • Кибер атаки

Моля, изпратете доклада си на:  ResponsibleDisclosure@Dentsuaegis.com.