Politique de divulgation des vulnérabilités

Accueil - Politique de divulgation des vulnérabilités

Sommaire

Chaque jour, de nouveaux problèmes de sécurité et des cyberattaques sont créés. LogMeOnce utilise des développements de sécurité de pointe en travaillant avec des chercheurs et des entreprises en sécurité. Le but de ce document est de décrire les termes et conditions dans lesquels nous paierons des primes; pour les bogues signalés éthiquement.

Politique

Garder les informations des utilisateurs en sécurité est une priorité absolue et un principe fondamental chez LogMeOnce. Nous nous félicitons de la contribution des chercheurs en sécurité externes et sommes impatients de les récompenser pour leur contribution inestimable à la sécurité de tous les employés et utilisateurs de LogMeOnce..

Récompenses

LogMeOnce offre des récompenses aux rapporteurs de vulnérabilité à sa discrétion (voir correctement «Rapports»). Notre récompense est $30 USD pour un faible impact, $50 USD pour un impact moyen. Les montants des récompenses peuvent varier en fonction de la gravité de la vulnérabilité signalée et de la qualité du rapport. Gardez à l'esprit qu'il ne s'agit pas d'un concours ou d'un concours.

Applications dans la portée

Les solutions LogMeOnce tournées vers l'extérieur et les produits LogMeOnce actuellement pris en charge sont inclus.

Admissibilité et divulgation responsable

Promouvoir la découverte et le signalement des vulnérabilités et accroître la sécurité des utilisateurs, nous vous demandons:

  • Agir de bonne foi pour éviter les violations de la vie privée, destruction de données, et interruption ou dégradation de nos services (y compris déni de service);
  • Ne pas accéder ni modifier nos données ou les données de nos utilisateurs, sans l'autorisation explicite du propriétaire. Interagissez uniquement avec vos propres comptes ou comptes de test à des fins de recherche de sécurité;
  • Contactez-nous immédiatement si vous rencontrez par inadvertance des données utilisateur. Ne pas voir, modifier, enregistrer, boutique, transfert, ou accéder autrement aux données, et purger immédiatement toute information locale en signalant la vulnérabilité à LogMeOnce;
  • Veuillez respecter nos applications existantes. Les formulaires de spam via des scanners de vulnérabilités automatisés n'entraîneront aucune prime ni récompense car ceux-ci sont explicitement hors de portée;
  • Partagez le problème de sécurité avec nous en détail;
  • Donnez-nous un délai raisonnable pour répondre au problème; et
  • Sinon, conformez-vous à toutes les lois applicables.

Nous ne récompensons que le premier rapporteur d'une vulnérabilité. La divulgation publique de la vulnérabilité n'est pas autorisée et annulera une récompense en attente. Nous nous réservons le droit de disqualifier des personnes du programme pour comportement irrespectueux ou perturbateur.

Nous ne négocierons pas en réponse à la contrainte ou aux menaces (par exemple., nous ne négocierons pas le montant du paiement sous peine de retenir la vulnérabilité ou la menace de divulgation de la vulnérabilité ou de toute donnée exposée au public).

Vulnérabilités hors du champ d'application

Les problèmes suivants sortent du cadre de notre programme de récompenses:

  • Nos politiques sur la présence / l'absence d'enregistrements SPF / DMARC.
  • Mot de passe, email, et politiques de compte, comme la vérification de l'identifiant de messagerie, réinitialiser l'expiration du lien, complexité du mot de passe.
  • Manque de jetons CSRF (sauf s'il existe des preuves de, action utilisateur sensible non protégée par un jeton).
  • Connexion / déconnexion CSRF.
  • Attaques nécessitant un accès physique à l'appareil d'un utilisateur.
  • En-têtes de sécurité manquants qui ne conduisent pas directement à une vulnérabilité.
  • Bonnes pratiques manquantes (nous avons besoin de preuves d'une vulnérabilité de sécurité).
  • Auto-XSS (nous avons besoin de preuves sur la façon dont le XSS peut être utilisé dans une attaque).
  • Injections d'en-tête d'hôte, sauf si vous pouvez montrer comment elles peuvent conduire à voler des données.
  • Utilisation d'une bibliothèque connue-vulnérable (sans preuve d'exploitabilité).
  • Problèmes liés au logiciel buggy non LogMeOnce.
  • Rapports provenant d'outils automatisés ou d'analyses.
  • Rapports de spam (c'est à dire., tout rapport impliquant la possibilité d'envoyer des e-mails sans limite de taux).
  • Attaques qui nécessitent que l'application attaquante soit autorisée à se superposer au-dessus de notre application (par exemple., tapjacking).
  • Vulnérabilités affectant les utilisateurs de navigateurs ou de plates-formes obsolètes.
  • Ingénierie sociale des employés ou sous-traitants de LogMeOnce.
  • Toute tentative physique contre la propriété LogMeOnce ou les centres de données.
  • Présence de l'attribut de saisie semi-automatique sur les formulaires Web.
  • Indicateurs de cookie manquants sur les cookies non sensibles.
  • Rapports de chiffrements SSL / TLS non sécurisés (à moins que vous n'ayez une preuve de concept fonctionnelle et pas seulement un rapport d'un scanner).
  • Tout accès aux données pour lequel l'utilisateur ciblé doit utiliser un appareil mobile enraciné.
  • Tout rapport sur le détournement de DLL sans démontrer comment il obtient de nouveaux privilèges est également hors de portée.
  • Tout rapport sur la façon dont les solutions LogMeOnce peuvent être utilisées pour diffuser des logiciels malveillants.
  • Vulnérabilités d'usurpation de contenu (où vous ne pouvez injecter que du texte ou une image dans une page) sont hors de portée.
  • Nous accepterons et résoudrons une vulnérabilité d'usurpation d'identité où l'attaquant peut injecter une image ou du texte enrichi (HTML), mais il n'est pas éligible à une prime. L'injection de texte pur est hors de portée.
  • Possibilité de partager des liens sans vérifier les e-mails.
  • Absence de limitation de débit, sauf en rapport avec l'authentification.
  • Les vulnérabilités de téléchargement de fichier reflétées ou toute vulnérabilité qui vous permettent de démarrer un téléchargement sur l'ordinateur de l'utilisateur sont hors de portée.
  • Analyse IP / Port via les services LogMeOnce sauf si vous êtes en mesure d'accéder à des adresses IP privées ou à des serveurs LogMeOnce.
  • Dispositifs (ios, Android, applications de bureau) ne pas être dissocié lors du changement de mot de passe.
  • Injection de lien hypertexte ou toute injection de lien dans les e-mails que nous envoyons.
  • La création de plusieurs comptes en utilisant le même e-mail est également hors de portée.
  • Risque de phishing via des problèmes Unicode / Punycode ou RTLO.
  • Pouvoir télécharger des fichiers avec la mauvaise extension dans le sélecteur.
  • Wikis Github modifiables.

Remarques sur les soumissions SSRF

Avant de soumettre un rapport SSRF, veuillez vous assurer que la réponse que vous recevez n'est ni:

  • réinitialiser
  • HTTP / 1.1 403 Interdit

L'une ou l'autre de ces réponses indique généralement que votre demande a été bloquée et n'est pas une SSRF valide.

Conséquences du respect de cette politique

Nous ne poursuivrons aucune action civile ni ne porterons plainte auprès des forces de l'ordre pour accident, violations de bonne foi de cette politique. Nous considérons que les activités menées conformément à cette politique constituent une conduite «autorisée» en vertu de la loi sur la fraude et les abus informatiques. Dans la mesure où vos activités sont incompatibles avec certaines restrictions de notre politique d'utilisation acceptable, nous renonçons à ces restrictions dans le but limité de permettre la recherche de sécurité dans le cadre de cette politique. Nous ne déposerons pas de réclamation DMCA contre vous pour avoir contourné les mesures technologiques que nous avons utilisées pour protéger les applications visées..

Si une action en justice est initiée par un tiers contre vous et que vous vous êtes conformé à la politique de Bug Bounty de LogMeOnce, LogMeOnce prendra des mesures pour faire savoir que vos actions ont été menées conformément à cette politique.

Les petits caractères

Vous êtes responsable du paiement de toutes les taxes associées aux récompenses. Nous pouvons modifier les termes de ce programme ou mettre fin à ce programme à tout moment. Nous n'appliquerons aucune modification que nous apportons à ces conditions du programme de manière rétroactive. Les rapports d'individus que la loi nous interdit de payer ne sont pas éligibles aux récompenses. Les employés de LogMeOnce et les membres de leur famille ne sont pas éligibles aux primes.

rapports

Envoyez tous les détails à [email protected] avec la ligne d'objet «LogMeOnce Vulnerability Disclosure».

Veuillez inclure une adresse e-mail professionnelle valide, et profil des médias sociaux.

Exceptions

Sauf indication contraire, Il n'y a pas d'exception à cette politique.

Période de conservation des procédures: En permanence, ou jusqu'à ce qu'il soit remplacé.

Cycle de révision / révision: Annuel

Notez que cette politique / procédure peut être révisée à tout moment par le propriétaire ou une autre partie autorisée. La période indiquée ici a établi le temps maximum qui peut s'écouler depuis la date d'émission avant que la procédure ne soit au moins revue pour l'exactitude et la pertinence..

Date de révision: 08-2020