Offenlegungsrichtlinie für Sicherheitslücken

Zuhause - Offenlegungsrichtlinie für Sicherheitslücken

Zusammenfassung

Jeden Tag entstehen neue Sicherheitsprobleme und Cyber-Sicherheitsangriffe. LogMeOnce setzt in Zusammenarbeit mit Sicherheitsforschern und Unternehmen modernste Sicherheitsentwicklungen ein. In diesem Dokument werden die Bedingungen beschrieben, unter denen wir Kopfgelder zahlen; für ethisch gemeldete Fehler.

Politik

Die Sicherheit von Benutzerinformationen hat bei LogMeOnce oberste Priorität und ein zentrales Prinzip. Wir begrüßen den Beitrag externer Sicherheitsforscher und freuen uns darauf, sie für ihren unschätzbaren Beitrag zur Sicherheit aller LogMeOnce-Mitarbeiter und -Nutzer zu belohnen.

Belohnung

LogMeOnce bietet Schwachstellenberichterstattern nach eigenem Ermessen Belohnungen (siehe richtig "Reporting"). Unsere Belohnung ist $30 USD für geringe Auswirkungen, $50 USD für mittlere Auswirkungen. Die Belohnungsbeträge können je nach Schweregrad der gemeldeten Sicherheitsanfälligkeit und der Qualität des Berichts variieren. Beachten Sie, dass dies kein Wettbewerb ist.

Anwendungen im Geltungsbereich

Externe LogMeOnce-Lösungen und derzeit unterstützte LogMeOnce-Produkte sind im Umfang enthalten.

Berechtigung und verantwortungsvolle Offenlegung

Förderung der Erkennung und Meldung von Sicherheitslücken und Erhöhung der Benutzersicherheit, wir bitten dich:

  • Handeln Sie in gutem Glauben, um Datenschutzverletzungen zu vermeiden, Zerstörung von Daten, und Unterbrechung oder Verschlechterung unserer Dienste (einschließlich Denial-of-Service);
  • Greifen Sie nicht auf unsere Daten oder die Daten unserer Benutzer zu oder ändern Sie sie nicht, ohne die ausdrückliche Erlaubnis des Eigentümers. Interagieren Sie nur mit Ihren eigenen Konten oder Testkonten für Sicherheitsforschungszwecke;
  • Kontaktieren Sie uns sofort, wenn Sie versehentlich auf Benutzerdaten stoßen. Nicht anzeigen, ändern, sparen, Geschäft, Transfer, oder auf andere Weise auf die Daten zugreifen, und löschen Sie alle lokalen Informationen sofort, wenn Sie die Sicherheitsanfälligkeit an LogMeOnce melden;
  • Bitte respektieren Sie unsere bestehenden Anwendungen. Das Versenden von Spam-Formularen über automatisierte Schwachstellenscanner führt zu keiner Prämie oder Auszeichnung, da diese ausdrücklich außerhalb des Geltungsbereichs liegen;
  • Teilen Sie uns das Sicherheitsproblem ausführlich mit;
  • Geben Sie uns eine angemessene Zeit, um auf das Problem zu antworten; und
  • Ansonsten alle geltenden Gesetze einhalten.

Wir belohnen nur den ersten Reporter einer Sicherheitslücke. Die öffentliche Offenlegung der Sicherheitsanfälligkeit ist nicht gestattet und storniert eine ausstehende Belohnung. Wir behalten uns das Recht vor, Personen wegen respektlosen oder störenden Verhaltens vom Programm auszuschließen.

Wir werden nicht als Reaktion auf Zwang oder Drohungen verhandeln (z.B., Wir werden nicht über den Auszahlungsbetrag verhandeln, bei dem die Gefahr besteht, dass die Sicherheitsanfälligkeit zurückgehalten wird oder die Sicherheitsanfälligkeit oder offen gelegte Daten für die Öffentlichkeit freigegeben werden).

Sicherheitslücken außerhalb des Geltungsbereichs

Die folgenden Punkte fallen nicht in den Geltungsbereich unseres Prämienprogramms:

  • Unsere Richtlinien zum Vorhandensein / Fehlen von SPF / DMARC-Aufzeichnungen.
  • Passwort, Email, und Kontorichtlinien, wie die Überprüfung der E-Mail-ID, Linkablauf zurücksetzen, Komplexität des Passworts.
  • Fehlende CSRF-Token (es sei denn, es gibt Hinweise auf tatsächliche, vertrauliche Benutzeraktion, die nicht durch ein Token geschützt ist).
  • Anmelden / Abmelden CSRF.
  • Angriffe, die physischen Zugriff auf das Gerät eines Benutzers erfordern.
  • Fehlende Sicherheitskopfzeilen, die nicht direkt zu einer Sicherheitsanfälligkeit führen.
  • Fehlende Best Practices (Wir benötigen den Nachweis einer Sicherheitslücke).
  • Selbst-XSS (Wir benötigen Beweise dafür, wie das XSS bei einem Angriff eingesetzt werden kann).
  • Host-Header-Injektionen, es sei denn, Sie können zeigen, wie sie zum Diebstahl von Daten führen können.
  • Verwendung einer bekanntermaßen anfälligen Bibliothek (ohne Nachweis der Verwertbarkeit).
  • Probleme im Zusammenhang mit fehlerhafter Nicht-LogMeOnce-Software.
  • Berichte von automatisierten Tools oder Scans.
  • Berichte über Spam (d.h., Jeder Bericht, der die Möglichkeit beinhaltet, E-Mails ohne Ratenbeschränkungen zu senden).
  • Angriffe, bei denen die Angreifer-App die Berechtigung zum Überlagern unserer App haben muss (z.B., Tapjacking).
  • Sicherheitslücken, die Benutzer veralteter Browser oder Plattformen betreffen.
  • Social Engineering von LogMeOnce-Mitarbeitern oder Auftragnehmern.
  • Alle physischen Versuche gegen LogMeOnce-Eigenschaften oder Rechenzentren.
  • Vorhandensein eines Attributs für die automatische Vervollständigung in Webformularen.
  • Fehlende Cookie-Flags auf nicht sensiblen Cookies.
  • Berichte über unsichere SSL / TLS-Chiffren (es sei denn, Sie haben einen funktionierenden Proof of Concept und nicht nur einen Bericht von einem Scanner).
  • Jeder Zugriff auf Daten, bei denen der Zielbenutzer ein verwurzeltes Mobilgerät bedienen muss.
  • Jeder Bericht über die Entführung von DLLs, ohne zu demonstrieren, wie neue Berechtigungen erlangt werden, ist ebenfalls nicht zulässig.
  • Jeder Bericht darüber, wie LogMeOnce-Lösungen zum Bereitstellen von Malware verwendet werden können.
  • Sicherheitslücken beim Spoofing von Inhalten (Hier können Sie nur Text oder ein Bild in eine Seite einfügen) sind außerhalb des Geltungsbereichs.
  • Wir akzeptieren und beheben eine Spoofing-Sicherheitsanfälligkeit, bei der Angreifer Bilder oder Rich Text einfügen können (HTML), aber es ist nicht für ein Kopfgeld berechtigt. Das Einfügen von reinem Text ist nicht möglich.
  • Möglichkeit zum Teilen von Links ohne Überprüfung der E-Mail.
  • Keine Geschwindigkeitsbegrenzung, sofern nicht im Zusammenhang mit der Authentifizierung.
  • Reflected File Download-Schwachstellen oder Schwachstellen, mit denen Sie einen Download auf den Computer des Benutzers starten können, sind nicht zulässig.
  • IP / Port-Scannen über LogMeOnce-Dienste, sofern Sie nicht in der Lage sind, private IPs oder LogMeOnce-Server zu erreichen.
  • Geräte (ios, Android, Desktop-Apps) Wird beim Ändern des Passworts nicht getrennt.
  • Hyperlink-Injection oder Link-Injection in E-Mails, die wir senden.
  • Das Erstellen mehrerer Konten mit derselben E-Mail ist ebenfalls nicht möglich.
  • Phishing-Risiko durch Unicode- / Punycode- oder RTLO-Probleme.
  • Dateien mit der falschen Erweiterung in chooser hochladen können.
  • Bearbeitbare Github-Wikis.

Hinweise zu SSRF-Einsendungen

Vor dem Einreichen eines SSRF-Berichts, Bitte stellen Sie sicher, dass die Antwort, die Sie erhalten, keine ist:

  • zurücksetzen
  • HTTP / 1.1 403 verboten

Jede dieser Antworten zeigt normalerweise an, dass Ihre Anfrage blockiert wurde und keine gültige SSRF ist.

Konsequenzen der Einhaltung dieser Richtlinie

Wir werden keine zivilrechtlichen Schritte einleiten oder eine Beschwerde bei den Strafverfolgungsbehörden wegen versehentlicher Maßnahmen einleiten, Verstöße gegen diese Richtlinie nach Treu und Glauben. Wir betrachten Aktivitäten, die im Einklang mit dieser Richtlinie durchgeführt werden, als „autorisiertes“ Verhalten im Sinne des Gesetzes über Computerbetrug und -missbrauch. Soweit Ihre Aktivitäten nicht mit bestimmten Einschränkungen in unserer Richtlinie zur akzeptablen Nutzung vereinbar sind, Wir verzichten auf diese Einschränkungen für den begrenzten Zweck, Sicherheitsforschung im Rahmen dieser Richtlinie zuzulassen. Wir werden keine DMCA-Klage gegen Sie erheben, weil Sie die technologischen Maßnahmen umgangen haben, die wir zum Schutz der Anwendungen im Umfang angewendet haben.

Wenn ein Dritter rechtliche Schritte gegen Sie einleitet und Sie die Bug Bounty-Richtlinie von LogMeOnce eingehalten haben, LogMeOnce wird Schritte unternehmen, um bekannt zu machen, dass Ihre Aktionen in Übereinstimmung mit dieser Richtlinie ausgeführt wurden.

Das Kleingedruckte

Sie sind für die Zahlung der mit Prämien verbundenen Steuern verantwortlich. Wir können die Bedingungen dieses Programms jederzeit ändern oder beenden. Wir werden keine Änderungen, die wir an diesen Programmbedingungen vornehmen, rückwirkend anwenden. Berichte von Personen, deren Zahlung uns gesetzlich untersagt ist, können nicht belohnt werden. LogMeOnce-Mitarbeiter und ihre Familienmitglieder haben keinen Anspruch auf Kopfgelder.

Berichterstattung

Senden Sie alle Details an [email protected] mit der Betreffzeile "LogMeOnce Vulnerability Disclosure".

Bitte geben Sie eine gültige geschäftliche E-Mail-Adresse an, und Social Media Profil.

Ausnahmen

Sofern nicht anders angegeben, Es gibt keine Ausnahmen von dieser Richtlinie.

Aufbewahrungsfrist für das Verfahren: Permanent, oder bis abgelöst.

Revisions- / Überprüfungszyklus: Jährlich

Beachten Sie, dass diese Richtlinie / dieses Verfahren jederzeit vom Eigentümer oder einer anderen autorisierten Partei überarbeitet werden kann. Der hier angegebene Zeitraum hat die maximale Zeit festgelegt, die seit dem Ausstellungsdatum vergehen kann, bevor das Verfahren zumindest auf Richtigkeit und Relevanz überprüft wird.

Änderungsdatum: 08-2020

Bitcoin-Mixer Kryptomixer bester Bitcoin-Mixer