Política de divulgación de vulnerabilidades

Hogar - Política de divulgación de vulnerabilidades

Resumen

Cada día se crean nuevos problemas de seguridad y ataques cibernéticos.. LogMeOnce emplea desarrollos de seguridad de última generación al trabajar con investigadores y empresas de seguridad. El propósito de este documento es describir los términos y condiciones bajo los cuales pagaremos las recompensas.; para errores informados éticamente.

Política

Mantener la información del usuario segura y protegida es una prioridad y un principio fundamental en LogMeOnce. Damos la bienvenida a la contribución de investigadores de seguridad externos y esperamos premiarlos por su invaluable contribución a la seguridad de todos los empleados y usuarios de LogMeOnce..

Recompensas

LogMeOnce ofrece recompensas a los informantes de vulnerabilidades a su discreción (ver correctamente "Informes"). Nuestra recompensa es $30 USD de bajo impacto, $50 USD para impacto medio. Los montos de las recompensas pueden variar según la gravedad de la vulnerabilidad informada y la calidad del informe.. Tenga en cuenta que esto no es un concurso o competencia..

Aplicaciones en el alcance

Las soluciones LogMeOnce externas y los productos LogMeOnce compatibles actualmente están dentro del alcance.

Elegibilidad y divulgación responsable

Promover el descubrimiento y la notificación de vulnerabilidades y aumentar la seguridad del usuario., te pedimos:

  • Actuar de buena fe para evitar violaciones a la privacidad., destrucción de datos, e interrupción o degradación de nuestros servicios (incluida la denegación de servicio);
  • No acceda ni modifique nuestros datos o los datos de nuestros usuarios, sin el permiso explícito del propietario. Solo interactúe con sus propias cuentas o cuentas de prueba con fines de investigación de seguridad;
  • Póngase en contacto con nosotros de inmediato si encuentra datos de usuario sin darse cuenta. No ver, alterar, salvar, Tienda, transferir, o acceder de otra manera a los datos, y purgar inmediatamente cualquier información local al informar la vulnerabilidad a LogMeOnce;
  • Respete nuestras aplicaciones existentes. Enviar formularios de spam a través de escáneres de vulnerabilidades automatizados no dará lugar a ninguna recompensa o recompensa, ya que están explícitamente fuera de alcance.;
  • Comparta el problema de seguridad con nosotros en detalle;
  • Danos un tiempo razonable para responder al problema.; y
  • De lo contrario, cumpla con todas las leyes aplicables..

Solo premiamos al primer reportero de una vulnerabilidad.. La divulgación pública de la vulnerabilidad no está permitida y cancelará una recompensa pendiente.. Nos reservamos el derecho de descalificar a personas del programa por comportamiento irrespetuoso o perturbador..

No negociaremos en respuesta a coacciones o amenazas. (por ejemplo, No negociaremos el monto del pago bajo la amenaza de retener la vulnerabilidad o la amenaza de liberar la vulnerabilidad o cualquier dato expuesto al público.).

Vulnerabilidades fuera de alcance

Los siguientes problemas están fuera del alcance de nuestro programa de recompensas:

  • Nuestras políticas sobre la presencia / ausencia de registros SPF / DMARC.
  • Contraseña, correo electrónico, y políticas de cuenta, como verificación de identificación de correo electrónico, restablecer la caducidad del enlace, complejidad de la contraseña.
  • Falta de tokens CSRF (a menos que haya evidencia de, acción sensible del usuario no protegida por un token).
  • Iniciar sesión / cerrar sesión CSRF.
  • Ataques que requieren acceso físico al dispositivo de un usuario.
  • Encabezados de seguridad faltantes que no conducen directamente a una vulnerabilidad.
  • Mejores prácticas faltantes (requerimos evidencia de una vulnerabilidad de seguridad).
  • Self-XSS (Necesitamos evidencia sobre cómo se puede usar XSS en un ataque.).
  • Inyecciones de encabezado de host a menos que pueda mostrar cómo pueden conducir al robo de datos.
  • Uso de una biblioteca vulnerable conocida (sin evidencia de explotabilidad).
  • Problemas relacionados con el software defectuoso que no es LogMeOnce.
  • Informes de escaneos o herramientas automatizadas.
  • Informes de spam (es decir, cualquier informe que implique la capacidad de enviar correos electrónicos sin límites de velocidad).
  • Ataques que requieren que la aplicación del atacante tenga permiso para superponerse sobre nuestra aplicación (por ejemplo, tapjacking).
  • Vulnerabilidades que afectan a los usuarios de navegadores o plataformas obsoletos.
  • Ingeniería social de empleados o contratistas de LogMeOnce.
  • Cualquier intento físico contra la propiedad o los centros de datos de LogMeOnce.
  • Presencia del atributo de autocompletar en formularios web.
  • Faltan banderas de cookies en cookies no sensibles.
  • Informes de cifrados SSL / TLS inseguros (a menos que tenga una prueba de concepto funcional y no solo un informe de un escáner).
  • Cualquier acceso a los datos donde el usuario objetivo necesita operar un dispositivo móvil rooteado.
  • Cualquier informe sobre el secuestro de DLL sin demostrar cómo obtiene nuevos privilegios también está fuera de alcance.
  • Cualquier informe sobre cómo se pueden utilizar las soluciones LogMeOnce para combatir el malware.
  • Vulnerabilidades de suplantación de contenido (donde solo puede inyectar texto o una imagen en una página) están fuera de alcance.
  • Aceptaremos y resolveremos una vulnerabilidad de suplantación en la que el atacante puede inyectar imágenes o texto enriquecido (HTML), pero no es elegible para una recompensa. La inyección de texto puro está fuera de alcance.
  • Posibilidad de compartir enlaces sin verificar el correo electrónico.
  • Ausencia de limitación de velocidad, a menos que esté relacionado con la autenticación.
  • Las vulnerabilidades de descarga de archivos reflejadas o cualquier vulnerabilidad que le permita iniciar una descarga en la computadora del usuario están fuera de alcance.
  • Escaneo de IP / puertos a través de los servicios LogMeOnce a menos que pueda acceder a IP privadas o servidores LogMeOnce.
  • Dispositivos (ios, androide, aplicaciones de escritorio) no se desvincula al cambiar la contraseña.
  • Inyección de hipervínculo o cualquier inyección de enlace en los correos electrónicos que enviamos.
  • La creación de varias cuentas con el mismo correo electrónico también está fuera de alcance.
  • Riesgo de phishing a través de problemas de Unicode / punycode o RTLO.
  • Poder cargar archivos con la extensión incorrecta en el selector.
  • Wikis de Github editables.

Notas sobre las presentaciones de la SSRF

Antes de enviar un informe de la SSRF, por favor asegúrese de que la respuesta que está recibiendo no sea:

  • Reiniciar
  • HTTP / 1.1 403 Prohibido

Cualquiera de estas respuestas generalmente indica que su solicitud fue bloqueada y no es una SSRF válida.

Consecuencias de cumplir con esta política

No emprenderemos acciones civiles ni iniciaremos una queja ante las fuerzas del orden por accidentes, violaciones de buena fe de esta política. Consideramos que las actividades realizadas de conformidad con esta política constituyen una conducta "autorizada" en virtud de la Ley de Abuso y Fraude Informático.. En la medida en que sus actividades sean inconsistentes con ciertas restricciones en nuestra Política de uso aceptable, renunciamos a esas restricciones con el propósito limitado de permitir la investigación de seguridad bajo esta política. No presentaremos un reclamo de DMCA en su contra por eludir las medidas tecnológicas que hemos utilizado para proteger las aplicaciones en el alcance..

Si un tercero inicia una acción legal contra usted y ha cumplido con la política de recompensas por errores de LogMeOnce, LogMeOnce tomará las medidas necesarias para hacer saber que sus acciones se llevaron a cabo de conformidad con esta política..

La letra pequeña

Eres responsable de pagar los impuestos asociados con las recompensas.. Podemos modificar los términos de este programa o finalizar este programa en cualquier momento.. No aplicaremos ningún cambio que hagamos a estos términos del programa de manera retroactiva.. Los informes de personas a quienes la ley nos prohíbe pagar no son elegibles para las recompensas.. Los empleados de LogMeOnce y sus familiares no son elegibles para recompensas.

la presentación de informes

Enviar todos los detalles a [email protected] con el asunto "Divulgación de vulnerabilidades de LogMeOnce".

Incluya una dirección de correo electrónico comercial válida, y perfil de redes sociales.

Excepciones

Salvo que se indique lo contrario, No hay excepciones a esta política.

Período de retención del procedimiento: Permanentemente, o hasta que sea reemplazado.

Ciclo de revisión / revisión: Anual

Tenga en cuenta que esta política / procedimiento puede ser revisada en cualquier momento por el propietario u otra parte autorizada. El período de tiempo anotado aquí estableció el tiempo máximo que puede transcurrir desde la fecha de emisión antes de que el procedimiento sea al menos revisado para verificar su precisión y relevancia.

Fecha de revisión: 08-2020