Politica di divulgazione delle vulnerabilità

Casa - Politica di divulgazione delle vulnerabilità

Sommario

Ogni giorno vengono creati nuovi problemi di sicurezza e attacchi alla sicurezza informatica. LogMeOnce impiega sviluppi di sicurezza all'avanguardia collaborando con ricercatori e aziende di sicurezza. Lo scopo di questo documento è delineare i termini e le condizioni in base ai quali pagheremo i premi; per bug segnalati eticamente.

Politica

Mantenere le informazioni degli utenti al sicuro e protette è una priorità assoluta e un principio fondamentale in LogMeOnce. Accogliamo con favore il contributo dei ricercatori di sicurezza esterni e non vediamo l'ora di premiarli per il loro inestimabile contributo alla sicurezza di tutti i dipendenti e utenti di LogMeOnce.

Ricompense

LogMeOnce fornisce ricompense ai giornalisti di vulnerabilità a sua discrezione (vedere correttamente "Rapporti"). La nostra ricompensa è $30 USD per basso impatto, $50 USD per impatto medio. Gli importi dei premi possono variare a seconda della gravità della vulnerabilità segnalata e della qualità della segnalazione. Tieni presente che questo non è un concorso o una competizione.

Applicazioni in ambito

Le soluzioni LogMeOnce rivolte all'esterno e i prodotti LogMeOnce attualmente supportati rientrano nell'ambito di applicazione.

Idoneità e divulgazione responsabile

Promuovere la scoperta e la segnalazione delle vulnerabilità e aumentare la sicurezza degli utenti, te lo chiediamo:

  • Agire in buona fede per evitare violazioni della privacy, distruzione dei dati, e interruzione o degrado dei nostri servizi (inclusa la negazione del servizio);
  • Non accedere o modificare i nostri dati o i dati dei nostri utenti, senza esplicita autorizzazione del proprietario. Interagisci solo con i tuoi account o account di prova per scopi di ricerca sulla sicurezza;
  • Contattaci immediatamente se incontri inavvertitamente i dati dell'utente. Non visualizzare, alterare, Salva, negozio, trasferimento, o accedere in altro modo ai dati, ed elimina immediatamente qualsiasi informazione locale dopo aver segnalato la vulnerabilità a LogMeOnce;
  • Si prega di essere rispettosi delle nostre applicazioni esistenti. I moduli di spamming tramite scanner di vulnerabilità automatizzati non comporteranno alcun premio o premio poiché questi sono esplicitamente esclusi;
  • Condividi il problema di sicurezza con noi in dettaglio;
  • Dacci un tempo ragionevole per rispondere al problema; e
  • In caso contrario, attenersi a tutte le leggi applicabili.

Premiamo solo il primo reporter di una vulnerabilità. La divulgazione pubblica della vulnerabilità non è consentita e annullerà un premio in sospeso. Ci riserviamo il diritto di squalificare le persone dal programma per comportamenti irrispettosi o distruttivi.

Non negozieremo in risposta a costrizioni o minacce (es, non negozieremo l'importo del pagamento con la minaccia di nascondere la vulnerabilità o la minaccia di rendere pubblica la vulnerabilità o qualsiasi dato esposto al pubblico).

Vulnerabilità fuori ambito

I seguenti problemi non rientrano nell'ambito del nostro programma di premi:

  • Le nostre politiche sulla presenza / assenza di record SPF / DMARC.
  • Parola d'ordine, e-mail, e le politiche dell'account, come la verifica dell'ID email, reimpostare la scadenza del collegamento, complessità della password.
  • Mancanza di token CSRF (a meno che non vi sia evidenza di reale, azione utente sensibile non protetta da un token).
  • Login / logout CSRF.
  • Attacchi che richiedono l'accesso fisico al dispositivo di un utente.
  • Intestazioni di sicurezza mancanti che non portano direttamente a una vulnerabilità.
  • Best practice mancanti (abbiamo bisogno di prove di una vulnerabilità di sicurezza).
  • Self-XSS (abbiamo bisogno di prove su come XSS possa essere utilizzato in un attacco).
  • Host iniezioni di intestazioni a meno che tu non possa mostrare come possono portare al furto di dati.
  • Uso di una libreria vulnerabile nota (senza prove di sfruttabilità).
  • Problemi relativi al software difettoso non LogMeOnce.
  • Rapporti da strumenti automatici o scansioni.
  • Segnalazioni di spam (cioè, qualsiasi segnalazione che implichi la possibilità di inviare e-mail senza limiti di velocità).
  • Attacchi che richiedono che l'app dell'autore dell'attacco abbia il permesso di sovrapporsi alla nostra app (es, tapjacking).
  • Vulnerabilità che interessano gli utenti di browser o piattaforme obsolete.
  • Ingegneria sociale dei dipendenti o appaltatori di LogMeOnce.
  • Qualsiasi tentativo fisico contro la proprietà o i data center di LogMeOnce.
  • Presenza dell'attributo di completamento automatico sui moduli web.
  • Flag di cookie mancanti sui cookie non sensibili.
  • Segnalazioni di cifrature SSL / TLS non sicure (a meno che tu non abbia una prova di concetto funzionante e non solo un rapporto da uno scanner).
  • Qualsiasi accesso ai dati in cui l'utente target deve utilizzare un dispositivo mobile rooted.
  • Anche qualsiasi rapporto sul dirottamento di DLL senza dimostrare come ottiene nuovi privilegi è fuori ambito.
  • Qualsiasi rapporto su come le soluzioni LogMeOnce possono essere utilizzate per servire malware.
  • Vulnerabilità dello spoofing dei contenuti (dove puoi solo inserire testo o un'immagine in una pagina) sono fuori campo.
  • Accetteremo e risolveremo una vulnerabilità di spoofing in cui l'attaccante può iniettare immagini o rich text (HTML), ma non è idoneo per una taglia. L'iniezione di testo puro è fuori portata.
  • Possibilità di condividere collegamenti senza verificare la posta elettronica.
  • Assenza di limitazione della velocità, a meno che non sia correlato all'autenticazione.
  • Le vulnerabilità di download di file riflesse o eventuali vulnerabilità che consentono di avviare un download sul computer dell'utente non rientrano nell'ambito.
  • Scansione IP / porta tramite i servizi LogMeOnce a meno che tu non sia in grado di raggiungere IP privati ​​o server LogMeOnce.
  • dispositivi (ios, Android, app desktop) non si scollega al cambio della password.
  • Iniezione di collegamento ipertestuale o qualsiasi iniezione di collegamento nelle e-mail che inviamo.
  • Anche la creazione di più account utilizzando la stessa email è fuori portata.
  • Rischio di phishing tramite problemi Unicode / Punycode o RTLO.
  • Essere in grado di caricare file con l'estensione sbagliata in Scelta Risorse.
  • Wiki Github modificabili.

Note sulle proposte SSRF

Prima di inviare un rapporto SSRF, assicurati che la risposta che stai ricevendo non sia né l'una né l'altra:

  • Ripristina
  • HTTP / 1.1 403 Proibito

Entrambe queste risposte di solito indicano che la tua richiesta è stata bloccata e non è un SSRF valido.

Conseguenze del rispetto di questa politica

Non perseguiremo azioni civili né avvieremo un reclamo alle forze dell'ordine per accidentale, violazioni in buona fede di questa politica. Riteniamo che le attività condotte coerenti con questa politica costituiscano una condotta "autorizzata" ai sensi del Computer Fraud and Abuse Act. Nella misura in cui le tue attività non sono coerenti con alcune restrizioni nella nostra Politica di utilizzo accettabile, rinunciamo a tali restrizioni allo scopo limitato di consentire la ricerca sulla sicurezza in base a questa politica. Non avanzeremo un reclamo DMCA contro di te per aver aggirato le misure tecnologiche che abbiamo utilizzato per proteggere le applicazioni in oggetto.

Se un'azione legale è avviata da una terza parte contro di te e hai rispettato la politica sui bug Bounty di LogMeOnce, LogMeOnce adotterà misure per far sapere che le tue azioni sono state condotte in conformità con questa politica.

La stampa fine

Sei responsabile del pagamento delle tasse associate ai premi. Possiamo modificare i termini di questo programma o interromperlo in qualsiasi momento. Non applicheremo retroattivamente le modifiche apportate a questi termini del programma. Le segnalazioni di persone a cui è vietato per legge di pagare non sono idonee per i premi. I dipendenti di LogMeOnce e i loro familiari non possono ricevere premi.

segnalazione

Invia tutti i dettagli a [email protected] con oggetto "LogMeOnce Vulnerability Disclosure".

Includi un indirizzo email aziendale valido, e profilo dei social media.

eccezioni

Salvo quanto diversamente indicato, non ci sono eccezioni a questa politica.

Periodo di conservazione della procedura: Permanentemente, o fino a quando non sarà sostituito.

Ciclo di revisione / revisione: Annuale

Si noti che questa politica / procedura può essere rivista in qualsiasi momento dal proprietario o da altra parte autorizzata. Il periodo di tempo qui indicato stabilisce il tempo massimo che può trascorrere dalla data di emissione prima che la procedura venga almeno rivista per accuratezza e pertinenza.

Data di revisione: 08-2020

frullatore bitcoin criptomixer miglior mixer bitcoin