Política de divulgació de vulnerabilitats

casa - Política de divulgació de vulnerabilitats

Resum

Cada dia es creen nous problemes de seguretat i atacs de ciberseguretat. LogMeOnce utilitza desenvolupaments de seguretat d’última generació treballant amb investigadors i empreses de seguretat. L’objectiu d’aquest document és esbossar els termes i condicions en què pagarem recompenses; per a errors informats èticament.

Política

Mantenir la informació de l'usuari segura i segura és una prioritat principal i un principi bàsic a LogMeOnce. Donem la benvinguda a la contribució d’investigadors de seguretat externs i esperem premiar-los per la seva inestimable contribució a la seguretat de tots els empleats i usuaris de LogMeOnce.

Recompenses

LogMeOnce proporciona recompenses als informadors de vulnerabilitats a la seva discreció (veure correctament "Informes"). La nostra recompensa és $30 USD per impacte baix, $50 USD per impacte mitjà. Les quantitats de recompensa poden variar en funció de la gravetat de la vulnerabilitat reportada i de la qualitat de l'informe. Tingueu en compte que no es tracta d’un concurs o competició.

Aplicacions en Abast

Les solucions LogMeOnce enfrontades externament i els productes LogMeOnce compatibles actualment són a l’abast.

Elegibilitat i divulgació responsable

Promoure el descobriment i la notificació de vulnerabilitats i augmentar la seguretat dels usuaris, us ho demanem:

  • Actua de bona fe per evitar violacions de privadesa, destrucció de dades, i interrupció o degradació dels nostres serveis (inclosa la denegació del servei);
  • No accediu ni modifiqueu les nostres dades ni les dades dels nostres usuaris, sense el permís explícit del propietari. Interactueu només amb els vostres propis comptes o proveu comptes amb finalitats de recerca de seguretat;
  • Poseu-vos en contacte amb nosaltres immediatament si trobeu dades d’usuari sense voler. No visualitzeu, alterar, guardar, botiga, transferència, o accedir d’una altra manera a les dades, i purgar immediatament qualsevol informació local en informar de la vulnerabilitat a LogMeOnce;
  • Si us plau, tingueu en compte les nostres aplicacions existents. Els formularis de correu brossa mitjançant escàners de vulnerabilitat automàtics no generaran cap recompensa o recompensa, ja que aquests no estan explícitament fora de l'abast;
  • Compartiu el problema de seguretat amb nosaltres en detall;
  • Doneu-nos un temps raonable per respondre al problema; i
  • En cas contrari, compliu totes les lleis aplicables.

Només premiem el primer reporter d’una vulnerabilitat. No es permet la divulgació pública de la vulnerabilitat i cancel·larà una recompensa pendent. Ens reservem el dret de desqualificar persones del programa per conductes irrespectuoses o perjudicials.

No negociarem en resposta a coaccions o amenaces (per exemple., no negociarem l'import del pagament sota l'amenaça de retenir la vulnerabilitat o l'amenaça de publicar la vulnerabilitat o les dades exposades al públic).

Vulnerabilitats fora de l'abast

Els problemes següents estan fora de l’abast del nostre programa de recompenses:

  • Les nostres polítiques sobre la presència / absència de registres SPF / DMARC.
  • contrasenya, correu electrònic, i les polítiques del compte, com ara la verificació de l’identificador de correu electrònic, restableix la caducitat de l'enllaç, complexitat de la contrasenya.
  • Manca de fitxes CSRF (tret que hi hagi evidències reals, l'acció de l'usuari sensible no protegida per un testimoni).
  • Iniciar sessió / tancar sessió CSRF.
  • Atacs que requereixen accés físic al dispositiu d'un usuari.
  • Falten capçaleres de seguretat que no condueixen directament a una vulnerabilitat.
  • Falten les pràctiques recomanades (necessitem proves d'una vulnerabilitat de seguretat).
  • Auto-XSS (necessitem proves sobre com es pot utilitzar el XSS en un atac).
  • Organitzeu les injeccions de capçaleres tret que pugueu mostrar com poden conduir a robar dades.
  • Ús d’una biblioteca coneguda i vulnerable (sense proves d’explotabilitat).
  • Problemes relacionats amb programes de buggys que no són LogMeOnce.
  • Informes d’eines o exploracions automatitzades.
  • Informes de correu brossa (és a dir, qualsevol informe que inclogui la possibilitat d'enviar correus electrònics sense límit de tarifes).
  • Atacs que requereixen que l'aplicació atacant tingui permís per superposar la part superior de la nostra aplicació (per exemple., tapjacking).
  • Vulnerabilitats que afecten usuaris de navegadors o plataformes obsoletes.
  • Enginyeria social d'empleats o contractistes de LogMeOnce.
  • Qualsevol intent físic contra propietats o centres de dades de LogMeOnce.
  • Presència d’atribut d’autocompletar als formularis web.
  • Falten marques de galetes en galetes no sensibles.
  • Informes de xifrats SSL / TLS insegurs (tret que tingueu una prova de concepte útil i no només un informe d'un escàner).
  • Qualsevol accés a dades en què l’usuari objectiu hagi de fer servir un dispositiu mòbil arrelat.
  • També queda fora de l'abast qualsevol informe sobre el segrest de DLL sense demostrar com obté nous privilegis.
  • Qualsevol informe sobre com es poden utilitzar les solucions LogMeOnce per publicar programari maliciós.
  • Vulnerabilitats de falsificació de contingut (on només podeu injectar text o imatge a una pàgina) estan fora d’abast.
  • Acceptarem i resoldrem una vulnerabilitat de falsificació en què l'atacant pot injectar imatge o text enriquit (HTML), però no és apte per a una recompensa. La injecció de text pur està fora de l'abast.
  • Possibilitat de compartir enllaços sense verificar el correu electrònic.
  • Absència de limitació de la taxa, tret que estigui relacionat amb l'autenticació.
  • Les vulnerabilitats de baixades de fitxers reflectides o qualsevol que us permetin iniciar una baixada a l’ordinador de l’usuari no estan disponibles.
  • Escaneig d'IP / ports mitjançant serveis LogMeOnce tret que pugueu accedir a IPs privats o servidors LogMeOnce.
  • Dispositius (ios, androide, aplicacions d'escriptori) no es desvincula el canvi de contrasenya.
  • Injecció d’hiperenllaç o qualsevol injecció d’enllaç als correus electrònics que enviem.
  • La creació de diversos comptes amb el mateix correu electrònic també està fora de l'abast.
  • Risc de pesca (suplantació d'identitat) mitjançant problemes unicode / punycode o RTLO.
  • Poder carregar fitxers amb una extensió incorrecta al selector.
  • Wiki editables de Github.

Notes sobre enviaments SSRF

Abans d’enviar un informe SSRF, assegureu-vos que la resposta que rebeu no és cap:

  • restableix
  • HTTP / 1.1 403 Prohibit

Qualsevol d'aquestes respostes sol indicar que la vostra sol·licitud s'ha bloquejat i que no és una SSRF vàlida.

Conseqüències del compliment d'aquesta política

No perseguirem accions civils ni iniciarem una queixa davant les forces de l'ordre per accident, violacions de bona fe d’aquesta política. Considerem que les activitats realitzades d'acord amb aquesta política constitueixen conductes "autoritzades" segons la Llei de frau i abús informàtic. En la mesura que les vostres activitats siguin incompatibles amb certes restriccions de la nostra Política d’ús acceptable, renunciem a aquestes restriccions amb el propòsit limitat de permetre investigacions de seguretat segons aquesta política. No presentarem cap reclamació DMCA contra vosaltres per eludir les mesures tecnològiques que hem utilitzat per protegir l'abast de les aplicacions.

Si un tercer inicia una acció judicial contra vostè i ha complert la política de recompenses d'errors de LogMeOnce, LogMeOnce prendrà mesures per fer saber que les vostres accions es van dur a terme de conformitat amb aquesta política.

La lletra petita

Sou responsable de pagar els impostos associats a les recompenses. Podem modificar els termes d’aquest programa o finalitzar-lo en qualsevol moment. No aplicarem els canvis que fem a aquestes condicions del programa de manera retroactiva. Els informes de persones a les quals la llei ens prohibeix pagar no són aptes per obtenir recompenses. Els empleats de LogMeOnce i els seus familiars no són elegibles per obtenir recompenses.

Informes

Envieu tots els detalls a [email protected] amb l'assumpte "Divulgació de vulnerabilitats de LogMeOnce".

Incloeu una adreça electrònica de l'empresa vàlida, i perfil de xarxes socials.

Excepcions

Llevat que s’indiqui el contrari, no hi ha excepcions a aquesta política.

Període de conservació del procediment: Permanentment, o fins que se substitueixi.

Cicle de revisió / revisió: Anual

Tingueu en compte que aquesta política o procediment pot ser revisada en qualsevol moment pel propietari o una altra part autoritzada. El període de temps assenyalat aquí estableix el temps màxim que pot transcórrer des de la data d’emissió abans que el procediment es revisi com a mínim per determinar-ne la precisió i la rellevància.

Data de revisió: 08-2020