Politik for offentliggørelse af sårbarhed

Hjem - Politik for offentliggørelse af sårbarhed

Resumé

Hver dag oprettes nye sikkerhedsproblemer og cybersikkerhedsangreb. LogMeOnce anvender avanceret sikkerhedsudvikling ved at arbejde med sikkerhedsforskere og virksomheder. Formålet med dette dokument er at skitsere de vilkår og betingelser, hvorunder vi betaler belønninger; for etisk rapporterede bugs.

Politik

At holde brugerinformation sikker og sikker er en topprioritet og et kerneprincip på LogMeOnce. Vi glæder os over bidrag fra eksterne sikkerhedsforskere og ser frem til at tildele dem for deres uvurderlige bidrag til sikkerheden for alle LogMeOnce-medarbejdere og brugere.

Belønninger

LogMeOnce giver belønninger til sårbarhedsjournalister efter eget skøn (se korrekt “Rapportering”). Vores belønning er $30 USD for lav påvirkning, $50 USD for middel påvirkning. Belønningsbeløb kan variere afhængigt af sværhedsgraden af ​​den rapporterede sårbarhed og kvaliteten af ​​rapporten. Husk, at dette ikke er en konkurrence eller konkurrence.

Anvendelser inden for rækkevidde

Eksternt vendte LogMeOnce-løsninger og i øjeblikket understøttede LogMeOnce-produkter er inden for rækkevidde.

Støtteberettigelse og ansvarlig videregivelse

At fremme opdagelsen og rapporteringen af ​​sårbarheder og øge brugersikkerheden, vi beder dig:

  • Handle i god tro for at undgå krænkelser af privatlivets fred, ødelæggelse af data, og afbrydelse eller forringelse af vores tjenester (herunder lammelsesangreb);
  • Du må ikke få adgang til eller ændre vores data eller vores brugeres data, uden udtrykkelig tilladelse fra ejeren. Interagér kun med dine egne konti eller testkonti af sikkerhedsundersøgelsesformål;
  • Kontakt os straks, hvis du utilsigtet støder på brugerdata. Se ikke, ændre, Gemme, butik, overførsel, eller på anden måde få adgang til dataene, og rens straks lokal information efter rapportering af sårbarheden til LogMeOnce;
  • Vær venlig at respektere vores eksisterende applikationer. Spamming af formularer gennem automatiserede sårbarhedsscannere vil ikke resultere i belønning eller tildeling, da disse eksplicit er uden for anvendelsesområdet.;
  • Del sikkerhedsproblemet med os i detaljer;
  • Giv os en rimelig tid til at svare på problemet; og
  • Ellers overhold alle gældende love.

Vi belønner kun den første reporter af en sårbarhed. Offentlig videregivelse af sårbarheden er ikke tilladt og annullerer en afventende belønning. Vi forbeholder os ret til at diskvalificere enkeltpersoner fra programmet for respektløs eller forstyrrende opførsel.

Vi forhandler ikke som reaktion på tvang eller trusler (fx, vi forhandler ikke udbetalingsbeløbet under trussel om at tilbageholde sårbarheden eller truslen om at frigive sårbarheden eller udsatte data til offentligheden).

Sårbarheder uden for anvendelsesområdet

Følgende emner er uden for vores belønningsprogram:

  • Vores politikker vedrørende tilstedeværelse / fravær af SPF / DMARC-poster.
  • Adgangskode, e-mail, og kontopolitikker, såsom bekræftelse af e-mail-id, nulstil udløb af link, adgangskodekompleksitet.
  • Mangel på CSRF-tokens (medmindre der er bevis for faktisk, følsom brugerhandling ikke beskyttet af et token).
  • Login / log ud CSRF.
  • Angreb, der kræver fysisk adgang til en brugers enhed.
  • Manglende sikkerhedsoverskrifter, der ikke direkte fører til en sårbarhed.
  • Manglende bedste praksis (vi kræver bevis for en sikkerhedssårbarhed).
  • Selv-XSS (vi kræver bevis for, hvordan XSS kan bruges i et angreb).
  • Vær headerinjektioner, medmindre du kan vise, hvordan de kan føre til stjæling af data.
  • Brug af et kendt sårbart bibliotek (uden bevis for udnyttelighed).
  • Problemer i forbindelse med buggy-software, der ikke er LogMeOnce.
  • Rapporter fra automatiserede værktøjer eller scanninger.
  • Rapporter om spam (dvs., enhver rapport, der involverer muligheden for at sende e-mails uden satsbegrænsninger).
  • Angreb, der kræver, at angriber-appen har tilladelse til at overlejre oven på vores app (fx, tapjacking).
  • Sårbarheder, der påvirker brugere af forældede browsere eller platforme.
  • Social engineering af LogMeOnce-medarbejdere eller entreprenører.
  • Ethvert fysisk forsøg på LogMeOnce ejendom eller datacentre.
  • Tilstedeværelse af autofuldførelsesattribut på webformularer.
  • Manglende cookieflag på ikke-følsomme cookies.
  • Rapporter om usikre SSL / TLS-cifre (medmindre du har et fungerende bevis på konceptet og ikke kun en rapport fra en scanner).
  • Enhver adgang til data, hvor den målrettede bruger skal betjene en rodfæstet mobilenhed.
  • Enhver rapport om DLL-kapring uden at demonstrere, hvordan den får nye privilegier, er også uden for anvendelsesområdet.
  • Enhver rapport om, hvordan LogMeOnce-løsninger kan bruges til at betjene malware.
  • Sårbarheder i indholdsspoofing (hvor du kun kan indsprøjte tekst eller et billede på en side) er uden for anvendelsesområdet.
  • Vi accepterer og løser en spoofing-sårbarhed, hvor angriberen kan indsprøjte billede eller rig tekst (HTML), men det er ikke berettiget til en belønning. Ren tekstinjektion er uden for anvendelsesområdet.
  • Evne til at dele links uden at bekræfte e-mail.
  • Fravær af hastighedsbegrænsning, medmindre relateret til godkendelse.
  • Sårbarheder for reflekteret filoverførsel eller eventuelle sårbarheder, der lader dig starte en download til brugerens computer, er uden for anvendelsesområdet.
  • IP / Port Scanning via LogMeOnce-tjenester, medmindre du er i stand til at ramme private IP'er eller LogMeOnce-servere.
  • Enheder (ios, Android, desktop-apps) bliver ikke afkoblet ved ændring af adgangskode.
  • Hyperlinkinjektion eller enhver linkinjektion i e-mails, vi sender.
  • Oprettelse af flere konti ved hjælp af den samme e-mail er også uden for anvendelsesområdet.
  • Phishing-risiko via unicode / punycode eller RTLO-problemer.
  • At kunne uploade filer med den forkerte udvidelse i vælgeren.
  • Redigerbare Github-wikier.

Bemærkninger om SSRF-indsendelser

Før du indsender en SSRF-rapport, Sørg for, at det svar, du modtager, hverken er:

  • Nulstil
  • HTTP / 1.1 403 Forbudt

En af disse svar indikerer normalt, at din anmodning blev blokeret og ikke er en gyldig SSRF.

Konsekvenser af overholdelse af denne politik

Vi vil ikke forfølge civilretlige sager eller indlede en klage til retshåndhævelse for utilsigtet, god tro overtrædelser af denne politik. Vi betragter aktiviteter, der udføres i overensstemmelse med denne politik, som ”autoriseret” adfærd i henhold til loven om computerbedrageri og -misbrug. I det omfang dine aktiviteter er uforenelige med visse begrænsninger i vores politik for acceptabel brug, vi afstår fra disse begrænsninger med det begrænsede formål at tillade sikkerhedsundersøgelser i henhold til denne politik. Vi fremsætter ikke et DMCA-krav mod dig for at omgå de teknologiske foranstaltninger, vi har brugt til at beskytte de anvendte applikationer.

Hvis der iværksættes retslige skridt mod en tredjepart mod dig, og du har overholdt LogMeOnces Bug Bounty-politik, LogMeOnce vil tage skridt til at gøre det kendt, at dine handlinger blev udført i overensstemmelse med denne politik.

Det fine print

Du er ansvarlig for at betale skat i forbindelse med belønninger. Vi kan til enhver tid ændre vilkårene for dette program eller opsige dette program. Vi anvender ikke ændringer, vi foretager i disse programbetingelser med tilbagevirkende kraft. Rapporter fra enkeltpersoner, som vi ifølge loven har forbud mod at betale, er ikke berettiget til belønning. LogMeOnce-medarbejdere og deres familiemedlemmer er ikke berettigede til belønninger.

Rapportering

Send alle detaljer til [email protected] med emnelinjen "Oplysning om sårbarhed i LogMeOnce".

Angiv venligst en gyldig e-mail-adresse, og sociale medieprofil.

Undtagelser

Medmindre andet er angivet, der er ingen undtagelser fra denne politik.

Procedure tilbageholdelsesperiode: Permanent, eller indtil afløst.

Revisions- / gennemgangscyklus: Årligt

Bemærk, at denne politik / procedure til enhver tid kan revideres af ejeren eller anden autoriseret part. Den her nævnte tidsperiode fastslog den maksimale tid, der kan gå, siden udstedelsesdatoen, før proceduren i det mindste gennemgås for nøjagtighed og relevans.

Revisionsdato: 08-2020

blender bitcoin cryptomixer best bitcoin mixer