Stefna um upplýsingagjöf um varnarleysi

Heim - Stefna um upplýsingagjöf um varnarleysi

Yfirlit

Á hverjum degi verða til ný öryggisvandamál og netöryggisárásir. LogMeOnce notar háþróaða öryggisþróun með því að vinna með vísindamönnum og fyrirtækjum í öryggismálum. Markmið þessa skjals er að gera grein fyrir skilmálum og skilyrðum sem við munum greiða fé; fyrir siðferðilega tilkynntar villur.

Stefna

Að halda notendaupplýsingum öruggum og öruggum er forgangsverkefni og meginregla hjá LogMeOnce. Við fögnum framlagi utanaðkomandi öryggisfræðinga og hlökkum til að veita þeim verðlaun fyrir ómetanlegt framlag þeirra til öryggis allra starfsmanna og notenda LogMeOnce.

Verðlaun

LogMeOnce veitir fréttamönnum viðkvæmni umbun að eigin vild (sjá rétt „Skýrsla“). Verðlaun okkar eru $30 USD fyrir lítil áhrif, $50 USD fyrir miðlungs áhrif. Verðlaunaupphæðir geta verið mismunandi eftir alvarleika veikleikans sem tilkynntur er og gæðum skýrslunnar. Hafðu í huga að þetta er ekki keppni eða keppni.

Umsóknir í gildissviði

LogMeOnce lausnir sem standa frammi fyrir og LogMeOnce vörur sem nú eru studdar eru í umfangi.

Hæfi og ábyrgðarupplýsing

Til að stuðla að uppgötvun og skýrslugerð um veikleika og auka öryggi notenda, við biðjum að þú:

  • Bregðast við í góðri trú til að forðast brot á friðhelgi einkalífs, eyðileggingu gagna, og truflun eða niðurbrot á þjónustu okkar (þ.mt afneitun á þjónustu);
  • Ekki hafa aðgang að eða breyta gögnum okkar eða gögnum notenda okkar, án sérstaks leyfis eigandans. Hafðu aðeins samskipti við eigin reikninga eða prófreikninga vegna rannsókna á öryggi;
  • Hafðu strax samband ef þú lendir óvart í notendagögnum. Ekki skoða, breyta, spara, verslun, flytja, eða fá aðgang að gögnum á annan hátt, og hreinsa strax allar staðbundnar upplýsingar þegar tilkynnt er um varnarleysið til LogMeOnce;
  • Vinsamlegast vertu virðandi fyrirliggjandi umsóknum okkar. Spamming eyðublöð með sjálfvirkum viðkvæmni skanni mun ekki leiða til neins verðlauna eða verðlauna þar sem þau eru sérstaklega utan sviðs;
  • Deildu öryggismálinu með okkur í smáatriðum;
  • Gefðu okkur hæfilegan tíma til að bregðast við málinu; og
  • Fylgdu að öðru leyti öllum gildandi lögum.

Við umbunum aðeins fyrsta fréttaritara veikleika. Opinber upplýsingagjöf um varnarleysið er ekki leyfð og mun hætta við umbun í bið. Við áskiljum okkur rétt til að svipta einstaklinga frá forritinu vegna virðingarleysis eða truflandi hegðunar.

Við munum ekki semja til að bregðast við nauð eða hótunum (t.d., við munum ekki semja um útborgunarfjárhæðina í hótunum um að halda eftir viðkvæmni eða hótun um að gefa út viðkvæmni eða einhver gögn sem verða fyrir almenningi).

Veikleiki utan sviðs

Eftirfarandi mál eru utan gildissviðs umbunaráætlunar okkar:

  • Stefna okkar varðandi tilvist / fjarveru SPF / DMARC skrár.
  • Lykilorð, tölvupóstur, og reikningsstefna, svo sem sannprófun auðkennis netfangs, endurstilla fyrningu tengils, flókið lykilorð.
  • Skortur á CSRF táknum (nema sönnunargögn séu fyrir hendi um raunveruleg, viðkvæm aðgerð notanda ekki vernduð af tákninu).
  • Innskráning / útskráning CSRF.
  • Árásir sem krefjast líkamlegs aðgangs að tæki notandans.
  • Vantar öryggisfyrirsagnir sem leiða ekki beint til veikleika.
  • Vantar bestu starfsvenjur (við krefjumst vísbendinga um öryggisveikleika).
  • Sjálf-XSS (við þurfum sönnunargögn um hvernig hægt er að nota XSS í árás).
  • Gestgjafahausinn sprautur nema þú getir sýnt hvernig þær geta leitt til þess að stela gögnum.
  • Notkun á þekktu viðkvæmu bókasafni (án sönnunargagna um nýtanleika).
  • Mál sem tengjast galla sem ekki eru LogMeOnce hugbúnaður.
  • Skýrslur frá sjálfvirkum verkfærum eða skönnunum.
  • Skýrslur um ruslpóst (þ.e.a.s., allar skýrslur sem fela í sér getu til að senda tölvupóst án taxtamarka).
  • Árásir sem krefjast þess að árásarforritið hafi leyfi til að leggja ofan á forritið okkar (t.d., tapjacking).
  • Veikleikar hafa áhrif á notendur úreltra vafra eða kerfa.
  • Félagsverkfræði starfsmanna LogMeOnce eða verktaka.
  • Allar líkamlegar tilraunir gegn LogMeOnce eignum eða gagnaverum.
  • Tilvist sjálfvirkrar útfyllingar á vefsíðuformum.
  • Vantar smákökufána á ónæmar smákökur.
  • Skýrslur um óörugga SSL / TLS dulkóðara (nema þú hafir vinnusönnun á hugmyndinni en ekki bara skýrslu frá skanni).
  • Allur aðgangur að gögnum þar sem notandinn sem miðar þarf að vera með rótað farsíma.
  • Allar skýrslur um DLL-rænu án þess að sýna fram á hvernig það öðlast ný forréttindi eru einnig utan sviðs.
  • Sérhver skýrsla um hvernig hægt er að nota lausnir LogMeOnce til að þjóna spilliforritum.
  • Veikleiki í innihaldssvikum (þar sem þú getur aðeins sprautað texta eða mynd inn á síðu) eru utan gildissviðs.
  • Við munum samþykkja og leysa varnarleysi þar sem árásarmaður getur sprautað mynd eða ríkan texta (HTML), en það er ekki gjaldfært. Hrein textasprautun er utan gildissviðs.
  • Hæfileiki til að deila krækjum án þess að staðfesta tölvupóst.
  • Ekki hlutfallstakmarkanir, nema tengjast sannvottun.
  • Endurspeglað varnarleysi skráar niðurhals eða önnur veikleiki sem gera þér kleift að hefja niðurhal á tölvu notandans eru utan gildissviðs.
  • IP / Port skönnun með LogMeOnce þjónustu nema þú getir slegið einka IP-tölur eða LogMeOnce netþjóna.
  • Tæki (ios, Android, skjáborðsforrit) verður ekki aftengt við lykilorðsbreytingu.
  • Tengill með tenglum eða hvaða tengingu sem er í tölvupósti sem við sendum.
  • Að búa til marga reikninga með sama tölvupósti er einnig utan gildissviðs.
  • Vefveiðaáhætta í tengslum við unicode / punycode eða RTLO.
  • Að geta hlaðið inn skrám með röngri viðbót í vali.
  • Hægt er að breyta Github wiki.

Skýringar um SSRF innsendingar

Áður en þú sendir SSRF skýrslu, vinsamlegast vertu viss um að svarið sem þú færð sé hvorugt:

  • endurstilla
  • HTTP / 1.1 403 Bannað

Annað hvort af þessum svörum gefur venjulega til kynna að beiðni þinni hafi verið lokuð og sé ekki gild SSRF.

Afleiðingar þess að fylgja þessari stefnu

Við munum ekki sækjast eftir einkamálum eða hefja kvörtun til lögreglu vegna óvart, brot á góðri trú á þessari stefnu. Við teljum að starfsemi sem fer fram í samræmi við þessa stefnu teljast „heimil“ háttsemi samkvæmt lögum um tölvusvindl og misnotkun. Að því marki sem starfsemi þín er í ósamræmi við ákveðnar takmarkanir í stefnu okkar um viðunandi notkun, við afsölum okkur þessum takmörkunum í þeim takmarkaða tilgangi að heimila rannsóknir á öryggi samkvæmt þessari stefnu. Við munum ekki leggja fram DMCA kröfu á hendur þér fyrir að fara framhjá tæknilegum ráðstöfunum sem við höfum notað til að vernda forritin í umfanginu.

Ef málshöfðun er höfð af þriðja aðila gegn þér og þú hefur farið að Bug Bounty stefnu LogMeOnce, LogMeOnce mun gera ráðstafanir til að láta vita að aðgerðir þínar voru gerðar í samræmi við þessa stefnu.

Smáa letrið

Þú ert ábyrgur fyrir að greiða skatta sem tengjast umbun. Við getum breytt skilmálum þessa forrits eða sagt upp þessu forriti hvenær sem er. Við munum ekki beita neinum breytingum á þessum forritaskilmálum afturvirkt. Tilkynningar frá einstaklingum sem okkur er bannað samkvæmt lögum að greiða eru ekki gjaldgengar. Starfsmenn LogMeOnce og fjölskyldumeðlimir þeirra eru ekki gjaldgengir.

Skýrslur

Sendu allar upplýsingar til [email protected] með efnislínunni „Upplýsing um viðkvæmni í LogMeOnce“.

Vinsamlegast láttu gilt netfang fyrirtækis fylgja, og prófíl samfélagsmiðla.

Undantekningar

Nema eins og annað er tekið fram, það eru engar undantekningar frá þessari stefnu.

Varðveislutímabil verklags: Varanlega, eða þar til aflétt.

Endurskoðun / endurskoðunarhringrás: Árleg

Athugið að eigandi eða annar viðurkenndur aðili getur endurskoðað þessa stefnu / málsmeðferð hvenær sem er. Tímabilið sem hér er tilgreint staðfesti hámarks tíma sem getur liðið frá útgáfudegi áður en aðferðin er að minnsta kosti endurskoðuð með tilliti til nákvæmni og mikilvægis.

Endurskoðunardagur: 08-2020