Beleid inzake openbaarmaking van kwetsbaarheden

Huis - Beleid inzake openbaarmaking van kwetsbaarheden

Samenvatting

Elke dag worden nieuwe beveiligingsproblemen en cyberaanvallen gecreëerd. LogMeOnce maakt gebruik van de modernste beveiligingsontwikkelingen door samen te werken met beveiligingsonderzoekers en bedrijven. Het doel van dit document is om de voorwaarden te schetsen waaronder we premies zullen betalen; voor ethisch gemelde bugs.

Het beleid

Het veilig houden van gebruikersinformatie is een topprioriteit en een kernprincipe bij LogMeOnce. We verwelkomen de bijdrage van externe beveiligingsonderzoekers en kijken ernaar uit om ze te belonen voor hun onschatbare bijdrage aan de beveiliging van alle LogMeOnce-medewerkers en -gebruikers.

Beloningen

LogMeOnce biedt naar eigen goeddunken beloningen aan melders van kwetsbaarheden (zie goed "Rapportage"). Onze beloning is $30 USD voor lage impact, $50 USD voor gemiddelde impact. De beloningsbedragen kunnen variëren afhankelijk van de ernst van de gemelde kwetsbaarheid en de kwaliteit van de melding. Houd er rekening mee dat dit geen wedstrijd of wedstrijd is.

Toepassingen binnen bereik

Extern gerichte LogMeOnce-oplossingen en momenteel ondersteunde LogMeOnce-producten vallen binnen het bereik.

Geschiktheid en verantwoordelijke openbaarmaking

Om de ontdekking en rapportage van kwetsbaarheden te bevorderen en de gebruikersveiligheid te vergroten, wij vragen u:

  • Handel te goeder trouw om privacyschendingen te voorkomen, vernietiging van gegevens, en onderbreking of verslechtering van onze diensten (inclusief denial of service);
  • Open of wijzig onze gegevens of de gegevens van onze gebruikers niet, zonder de uitdrukkelijke toestemming van de eigenaar. Werk alleen met uw eigen accounts of testaccounts voor veiligheidsonderzoeksdoeleinden;
  • Neem onmiddellijk contact met ons op als u per ongeluk gebruikersgegevens tegenkomt. Niet bekijken, wijzigen, opslaan, winkel, overdracht, of anderszins toegang krijgen tot de gegevens, en verwijder onmiddellijk alle lokale informatie na het melden van het beveiligingslek aan LogMeOnce;
  • Respecteer alstublieft onze bestaande applicaties. Het spammen van formulieren via geautomatiseerde kwetsbaarheidsscanners zal niet resulteren in enige beloning of beloning, aangezien deze expliciet buiten het bereik vallen;
  • Deel het beveiligingsprobleem in detail met ons;
  • Geef ons een redelijke termijn om op het probleem te reageren; en
  • Leef anders alle toepasselijke wetten na.

We belonen alleen de eerste melder van een kwetsbaarheid. Openbaarmaking van de kwetsbaarheid is niet toegestaan ​​en zal een lopende beloning annuleren. We behouden ons het recht voor om personen van het programma te diskwalificeren wegens respectloos of storend gedrag.

We zullen niet onderhandelen als reactie op dwang of bedreigingen (bijv., we zullen niet onderhandelen over het uitbetalingsbedrag onder dreiging de kwetsbaarheid in te houden of de dreiging om de kwetsbaarheid of enige blootgestelde gegevens aan het publiek vrij te geven).

Kwetsbaarheden die buiten het bereik vallen

De volgende problemen vallen buiten het bereik van ons beloningsprogramma:

  • Ons beleid inzake de aanwezigheid / afwezigheid van SPF / DMARC-records.
  • Wachtwoord, e-mail, en accountbeleid, zoals verificatie van e-mail-id, reset link verlopen, wachtwoord complexiteit.
  • Gebrek aan CSRF-tokens (tenzij er bewijs is van werkelijk, gevoelige gebruikersactie die niet wordt beschermd door een token).
  • Inloggen / uitloggen CSRF.
  • Aanvallen die fysieke toegang tot het apparaat van een gebruiker vereisen.
  • Ontbrekende security headers die niet direct naar een kwetsbaarheid leiden.
  • Ontbrekende best practices (we hebben bewijs nodig van een beveiligingsprobleem).
  • Zelf-XSS (we hebben bewijs nodig over hoe de XSS kan worden gebruikt bij een aanval).
  • Host header-injecties, tenzij u kunt laten zien hoe ze kunnen leiden tot het stelen van gegevens.
  • Gebruik van een bekende kwetsbare bibliotheek (zonder bewijs van exploiteerbaarheid).
  • Problemen met betrekking tot niet-LogMeOnce-software met fouten.
  • Rapporten van geautomatiseerde tools of scans.
  • Meldingen van spam (d.w.z., elk rapport met betrekking tot de mogelijkheid om e-mails te verzenden zonder tarieflimieten).
  • Aanvallen waarbij de aanvaller-app toestemming moet hebben om bovenop onze app te plaatsen (bijv., tapjacking).
  • Kwetsbaarheden die gebruikers van verouderde browsers of platforms treffen.
  • Social engineering van LogMeOnce-medewerkers of aannemers.
  • Alle fysieke pogingen tegen LogMeOnce-eigendommen of datacenters.
  • Aanwezigheid van autocomplete-attribuut op webformulieren.
  • Ontbrekende cookievlaggen op niet-gevoelige cookies.
  • Meldingen van onveilige SSL / TLS-coderingen (tenzij je een werkende proof of concept hebt en niet alleen een rapport van een scanner).
  • Elke toegang tot gegevens waarbij de beoogde gebruiker een geroot mobiel apparaat moet bedienen.
  • Elk rapport over DLL-kaping zonder aan te tonen hoe het nieuwe rechten verkrijgt, valt ook buiten het bereik.
  • Elk rapport over hoe LogMeOnce-oplossingen kunnen worden gebruikt om malware te bedienen.
  • Kwetsbaarheden voor spoofing van inhoud (waar u alleen tekst of een afbeelding in een pagina kunt injecteren) vallen buiten het bereik.
  • We accepteren en lossen een kwetsbaarheid voor spoofing op waarbij de aanvaller afbeeldingen of tekst met opmaak kan injecteren (HTML), maar het komt niet in aanmerking voor een premie. Pure tekstinjectie valt buiten het bereik.
  • Mogelijkheid om links te delen zonder e-mail te verifiëren.
  • Afwezigheid van snelheidsbeperking, tenzij gerelateerd aan authenticatie.
  • Kwetsbaarheden bij het downloaden van gereflecteerde bestanden of eventuele kwetsbaarheden waarmee u een download naar de computer van de gebruiker kunt starten, vallen buiten het bereik.
  • IP- / poortscannen via LogMeOnce-services, tenzij u privé-IP's of LogMeOnce-servers kunt raken.
  • Apparaten (iOS, android, desktop-apps) niet ontkoppeld worden bij wachtwoordwijziging.
  • Hyperlink-injectie of elke link-injectie in e-mails die we verzenden.
  • Het aanmaken van meerdere accounts met hetzelfde e-mailadres valt ook buiten het bereik.
  • Phishingrisico via unicode / punycode of RTLO-problemen.
  • Bestanden met de verkeerde extensie kunnen uploaden in chooser.
  • Bewerkbare Github-wiki's.

Opmerkingen over SSRF-inzendingen

Voordat u een SSRF-rapport indient, Zorg ervoor dat het antwoord dat u ontvangt geen van beide is:

  • resetten
  • HTTP / 1.1 403 Verboden

Elk van deze reacties geeft meestal aan dat uw verzoek is geblokkeerd en geen geldige SSRF is.

Gevolgen van het naleven van dit beleid

We zullen geen civiele actie ondernemen of een klacht indienen bij de wetshandhavingsinstantie wegens een onbedoelde gebeurtenis, schendingen van dit beleid te goeder trouw. We beschouwen activiteiten die in overeenstemming zijn met dit beleid als "geautoriseerd" gedrag onder de Computer Fraud and Abuse Act. Voor zover uw activiteiten niet in overeenstemming zijn met bepaalde beperkingen in ons beleid voor acceptabel gebruik, we zien af ​​van deze beperkingen met het beperkte doel om veiligheidsonderzoek onder dit beleid toe te staan. We zullen geen DMCA-claim tegen u indienen voor het omzeilen van de technologische maatregelen die we hebben gebruikt om de toepassingen te beschermen.

Als er juridische stappen tegen u worden gestart door een derde partij en u heeft voldaan aan het Bug Bounty-beleid van LogMeOnce, LogMeOnce zal stappen ondernemen om bekend te maken dat uw acties zijn uitgevoerd in overeenstemming met dit beleid.

De kleine lettertjes

U bent verantwoordelijk voor het betalen van eventuele belastingen in verband met beloningen. We kunnen de voorwaarden van dit programma wijzigen of dit programma op elk moment beëindigen. We zullen de wijzigingen die we aanbrengen in deze programmavoorwaarden niet met terugwerkende kracht toepassen. Rapporten van personen aan wie we wettelijk niet mogen betalen, komen niet in aanmerking voor beloningen. LogMeOnce-medewerkers en hun gezinsleden komen niet in aanmerking voor premies.

Reporting

Stuur alle details naar [email protected] met de onderwerpregel "LogMeOnce Vulnerability Disclosure".

Geef een geldig zakelijk e-mailadres op, en social media profiel.

Uitzonderingen

Tenzij anders vermeld, er zijn geen uitzonderingen op dit beleid.

Procedure Bewaartermijn: Permanent, of totdat deze is vervangen.

Herzienings- / beoordelingscyclus: Jaarlijks

Houd er rekening mee dat dit beleid / deze procedure op elk moment kan worden herzien door de eigenaar of een andere bevoegde partij. De hier vermelde tijdsperiode bepaalt de maximale tijd die kan verstrijken sinds de uitgiftedatum voordat de procedure op zijn minst wordt beoordeeld op juistheid en relevantie.

Datum van herziening: 08-2020