Retningslinjer for sårbarhetsinformasjon

Hjem - Retningslinjer for sårbarhetsinformasjon

Sammendrag

Hver dag opprettes nye sikkerhetsproblemer og cybersikkerhetsangrep. LogMeOnce benytter toppmoderne sikkerhetsutvikling ved å jobbe med sikkerhetsforskere og selskaper. Hensikten med dette dokumentet er å skissere vilkårene og betingelsene vi betaler bounties for; for etisk rapporterte feil.

Politikk

Å holde brukerinformasjon trygg og sikker er en topprioritet og et hovedprinsipp hos LogMeOnce. Vi ønsker bidrag fra eksterne sikkerhetsforskere velkommen og ser frem til å tildele dem for deres uvurderlige bidrag til sikkerheten til alle LogMeOnce-ansatte og brukere.

Belønninger

LogMeOnce gir belønninger til sårbarhetsreportere etter eget skjønn (se ordentlig “Rapportering”). Belønningen vår er $30 USD for lav innvirkning, $50 USD for middels påvirkning. Belønningsbeløp kan variere avhengig av alvorlighetsgraden av det rapporterte sårbarheten og kvaliteten på rapporten. Husk at dette ikke er en konkurranse eller konkurranse.

Søknader i omfang

Utvendige LogMeOnce-løsninger og for tiden støttede LogMeOnce-produkter er i omfang.

Kvalifisering og ansvarlig avsløring

Å fremme oppdagelse og rapportering av sårbarheter og øke brukersikkerheten, Vi ber deg:

  • Handle i god tro for å unngå brudd på personvernet, ødeleggelse av data, og avbrudd eller forringelse av tjenestene våre (inkludert tjenestenekt);
  • Ikke få tilgang til eller modifiser dataene våre eller brukernes data, uten eksplisitt tillatelse fra eieren. Samhandle bare med dine egne kontoer eller testkontoer for sikkerhetsforskningsformål;
  • Kontakt oss umiddelbart hvis du utilsiktet støter på brukerdata. Ikke se, endre, lagre, butikk, overføre, eller på annen måte få tilgang til dataene, og tøm umiddelbart lokal informasjon etter rapportering av sårbarheten til LogMeOnce;
  • Vær respektfull for våre eksisterende applikasjoner. Spamming av skjemaer gjennom automatiserte sårbarhetsskannere vil ikke gi noen belønning eller tildeling siden de eksplisitt er utenfor omfanget;
  • Del sikkerhetsproblemet med oss ​​i detalj;
  • Gi oss rimelig tid til å svare på problemet; og
  • Ellers overholde alle gjeldende lover.

Vi belønner bare den første reporteren for en sårbarhet. Offentliggjøring av sårbarheten er ikke tillatt og vil kansellere en ventende belønning. Vi forbeholder oss retten til å diskvalifisere personer fra programmet for respektløs eller forstyrrende oppførsel.

Vi vil ikke forhandle som svar på tvang eller trusler (f.eks, vi vil ikke forhandle utbetalingsbeløpet under trussel om å holde tilbake sårbarheten eller trusselen om å frigjøre sårbarheten eller eksponert data til publikum).

Sårbarheter utenfor omfanget

Følgende saker er utenfor omfanget av belønningsprogrammet vårt:

  • Våre retningslinjer for tilstedeværelse / fravær av SPF / DMARC-poster.
  • Passord, e-post, og kontopolitikk, som bekreftelse av e-post-ID, tilbakestille koblingens utløp, passordkompleksitet.
  • Mangel på CSRF-tokens (med mindre det er bevis for faktisk, sensitiv brukerhandling ikke beskyttet av et token).
  • Pålogging / avlogging CSRF.
  • Angrep som krever fysisk tilgang til brukerens enhet.
  • Manglende sikkerhetsoverskrifter som ikke fører direkte til et sårbarhet.
  • Mangler beste praksis (vi krever bevis på et sikkerhetsproblem).
  • Selv-XSS (vi krever bevis på hvordan XSS kan brukes i et angrep).
  • Vert headerinjeksjoner med mindre du kan vise hvordan de kan føre til stjeling av data.
  • Bruk av et kjent sårbart bibliotek (uten bevis for utnyttbarhet).
  • Problemer relatert til programvare med buggy som ikke er LogMeOnce.
  • Rapporter fra automatiserte verktøy eller skanninger.
  • Rapporter om spam (dvs., enhver rapport som involverer muligheten til å sende e-post uten satsbegrensninger).
  • Angrep som krever at angriper-appen har tillatelse til å legge på toppen av appen vår (f.eks, tapjacking).
  • Sårbarheter som berører brukere av utdaterte nettlesere eller plattformer.
  • Sosial engineering av LogMeOnce ansatte eller entreprenører.
  • Eventuelle fysiske forsøk på LogMeOnce eiendom eller datasentre.
  • Tilstedeværelse av attributt for autofullføring på nettskjemaer.
  • Mangler informasjonskapselflagg på ikke-sensitive informasjonskapsler.
  • Rapporter om usikre SSL / TLS-krypteringer (med mindre du har et fungerende bevis på konseptet og ikke bare en rapport fra en skanner).
  • Enhver tilgang til data der den målrettede brukeren må ha en roten mobilenhet.
  • Enhver rapport om DLL-kapring uten å demonstrere hvordan den får nye privilegier er også utenfor omfanget.
  • Enhver rapport om hvordan LogMeOnce-løsninger kan brukes til å servere skadelig programvare.
  • Sårbarheter i innholdsspoofing (der du bare kan injisere tekst eller et bilde på en side) er utenfor omfanget.
  • Vi aksepterer og løser et spoofing-sårbarhet der angriper kan injisere bilde eller rik tekst (HTML), men det er ikke kvalifisert for en belønning. Ren tekstinjeksjon er utenfor omfanget.
  • Evne til å dele lenker uten å bekrefte e-post.
  • Fravær av hastighetsbegrensende, med mindre det er relatert til autentisering.
  • Reflekterte sårbarheter for nedlasting av filer eller eventuelle sårbarheter som lar deg starte en nedlasting til brukerens datamaskin, er utenfor omfanget.
  • IP / port skanning via LogMeOnce-tjenester med mindre du er i stand til å treffe private IP-er eller LogMeOnce-servere.
  • Enheter (ios, Android, stasjonære apper) ikke kobles fra ved endring av passord.
  • Hyperkoblinginjeksjon eller koblingsinjeksjon i e-post vi sender.
  • Å opprette flere kontoer med samme e-post er også utenfor omfanget.
  • Phishing-risiko via unicode / punycode eller RTLO-problemer.
  • Å kunne laste opp filer med feil utvidelse i velgeren.
  • Redigerbare Github-wikier.

Merknader om SSRF-innleveringer

Før du sender inn en SSRF-rapport, sørg for at svaret du mottar ikke er verken:

  • nullstille
  • HTTP / 1.1 403 Forbudt

En av disse svarene indikerer vanligvis at forespørselen din ble blokkert og ikke er en gyldig SSRF.

Konsekvenser av å overholde denne policyen

Vi vil ikke forfølge sivile søksmål eller iverksette en klage til rettshåndhevelse for utilsiktet, god tro brudd på denne politikken. Vi anser aktiviteter som utføres i samsvar med denne policyen for å utgjøre “autorisert” oppførsel i henhold til lov om datamaskinsvindel og misbruk. I den grad aktivitetene dine ikke er i samsvar med visse begrensninger i retningslinjene våre for akseptabel bruk, vi fraviker disse begrensningene for det begrensede formål å tillate sikkerhetsforskning i henhold til denne policyen. Vi kommer ikke med DMCA-krav mot deg for å omgå de teknologiske tiltakene vi har brukt for å beskytte applikasjonene i omfang.

Hvis rettslige skritt blir iverksatt av en tredjepart mot deg, og du har overholdt LogMeOnce's Bug Bounty policy, LogMeOnce vil ta skritt for å gjøre det kjent at dine handlinger ble utført i samsvar med denne policyen.

Det fine utskriften

Du er ansvarlig for å betale skatter knyttet til belønning. Vi kan når som helst endre vilkårene i dette programmet eller avslutte dette programmet. Vi vil ikke bruke noen endringer vi gjør på disse programvilkårene med tilbakevirkende kraft. Rapporter fra enkeltpersoner som det er forbudt ved lov å betale, er ikke kvalifisert for belønning. LogMeOnce-ansatte og deres familiemedlemmer er ikke kvalifisert for bounties.

rapportering

Send alle detaljer til [email protected] med emnelinjen "Informasjon om sikkerhetsproblem i LogMeOnce".

Oppgi en gyldig e-postadresse for bedriften, og sosiale medieprofil.

unntak

Med mindre annet er oppgitt, det er ingen unntak fra denne policyen.

Oppbevaringsperiode for prosedyren: Permanent, eller til erstattet.

Revisjon / gjennomgangssyklus: Årlig

Merk at denne policyen / prosedyren når som helst kan revideres av eieren eller annen autorisert part. Tidsperioden som er angitt her, fastsatte den maksimale tiden som kan gå siden utstedelsesdatoen før prosedyren blir i det minste gjennomgått for nøyaktighet og relevans.

Revisjonsdato: 08-2020