Politica de divulgare a vulnerabilității

Acasă - Politica de divulgare a vulnerabilității

rezumat

În fiecare zi sunt create noi probleme de securitate și atacuri de securitate cibernetică. LogMeOnce folosește dezvoltări de securitate de ultimă generație, colaborând cu cercetători și companii de securitate. Scopul acestui document este de a contura termenii și condițiile în care vom plăti recompense; pentru erori raportate etic.

Politică

Păstrarea în siguranță a informațiilor utilizatorilor este o prioritate absolută și un principiu de bază la LogMeOnce. Salutăm contribuția cercetătorilor externi în securitate și așteptăm cu nerăbdare să le acordăm pentru contribuția lor neprețuită la securitatea tuturor angajaților și utilizatorilor LogMeOnce.

Recompense

LogMeOnce oferă recompense reporterilor de vulnerabilitate la discreția sa (vezi corect „Raportarea”). Răsplata noastră este $30 USD pentru un impact redus, $50 USD pentru impact mediu. Sumele recompensei pot varia în funcție de severitatea vulnerabilității raportate și de calitatea raportului. Rețineți că acesta nu este un concurs sau o competiție.

Aplicații în domeniul de aplicare

Soluțiile LogMeOnce orientate extern și produsele LogMeOnce acceptate în prezent sunt în sfera de aplicare.

Eligibilitate și dezvăluire responsabilă

Pentru a promova descoperirea și raportarea vulnerabilităților și pentru a spori siguranța utilizatorilor, vă cerem noi:

  • Acționați cu bună-credință pentru a evita încălcările confidențialității, distrugerea datelor, și întreruperea sau degradarea serviciilor noastre (inclusiv refuzul de serviciu);
  • Nu accesați sau modificați datele noastre sau datele utilizatorilor noștri, fără permisiunea explicită a proprietarului. Interacționați cu propriile conturi sau conturi de testare numai în scopuri de cercetare a securității;
  • Contactați-ne imediat dacă întâlniți din greșeală date despre utilizatori. Nu vizualizați, modifica, Salvați, magazin, transfer, sau accesează altfel datele, și curățați imediat orice informație locală la raportarea vulnerabilității către LogMeOnce;
  • Vă rugăm să respectați aplicațiile noastre existente. Formularele de spam prin scanere automate de vulnerabilități nu vor avea drept rezultat nicio recompensă sau premiu, deoarece acestea sunt în mod explicit în afara domeniului de aplicare;
  • Împărtășiți-ne problema de securitate în detaliu;
  • Acordați-ne un timp rezonabil pentru a răspunde la problemă; și
  • În caz contrar, respectați toate legile aplicabile.

Recompensăm doar primul reporter al unei vulnerabilități. Divulgarea publică a vulnerabilității nu este permisă și va anula o recompensă în așteptare. Ne rezervăm dreptul de a descalifica persoanele din program pentru comportament nerespectuos sau perturbator.

Nu vom negocia ca răspuns la constrângere sau amenințări (ex, nu vom negocia suma de plată sub amenințarea de a reține vulnerabilitatea sau amenințarea de a elibera vulnerabilitatea sau orice date expuse publicului).

Vulnerabilități în afara domeniului de aplicare

Următoarele probleme nu intră în sfera programului nostru de recompense:

  • Politicile noastre privind prezența / absența înregistrărilor SPF / DMARC.
  • Parola, e-mail, și politicile contului, cum ar fi verificarea identității prin e-mail, resetați expirarea legăturii, complexitatea parolei.
  • Lipsa de jetoane CSRF (dacă nu există dovezi ale faptului, acțiune sensibilă a utilizatorului neprotejată de un simbol).
  • Conectare / deconectare CSRF.
  • Atacurile care necesită acces fizic la dispozitivul unui utilizator.
  • Lipsesc anteturile de securitate care nu duc direct la o vulnerabilitate.
  • Cele mai bune practici lipsesc (avem nevoie de dovezi ale unei vulnerabilități de securitate).
  • Auto-XSS (avem nevoie de dovezi cu privire la modul în care XSS poate fi utilizat într-un atac).
  • Găzduiți injecțiile din antet, cu excepția cazului în care puteți arăta cum pot duce la furtul datelor.
  • Utilizarea unei biblioteci vulnerabile cunoscute (fără dovezi de exploatabilitate).
  • Probleme legate de software-ul non-LogMeOnce buggy.
  • Rapoarte din instrumente automate sau scanări.
  • Rapoarte de spam (adică, orice raport care implică posibilitatea de a trimite e-mailuri fără limite de tarifare).
  • Atacurile care necesită ca aplicația atacator să aibă permisiunea de a suprapune peste aplicația noastră (ex, tapjacking).
  • Vulnerabilități care afectează utilizatorii de browsere sau platforme învechite.
  • Ingineria socială a angajaților sau contractorilor LogMeOnce.
  • Orice încercare fizică împotriva proprietății LogMeOnce sau a centrelor de date.
  • Prezența atributului de completare automată pe formularele web.
  • Lipsesc semnalizările cookie-urilor pentru cookie-urile nesensibile.
  • Rapoarte de cifrări SSL / TLS nesigure (cu excepția cazului în care aveți o dovadă funcțională a conceptului și nu doar un raport de la un scaner).
  • Orice acces la date în care utilizatorul vizat trebuie să opereze un dispozitiv mobil înrădăcinat.
  • Orice raport despre deturnarea DLL fără a demonstra cum câștigă noi privilegii este, de asemenea, în afara domeniului de aplicare.
  • Orice raport despre modul în care soluțiile LogMeOnce pot fi utilizate pentru a servi malware.
  • Vulnerabilități de falsificare a conținutului (unde puteți injecta doar text sau o imagine într-o pagină) sunt în afara domeniului de aplicare.
  • Vom accepta și rezolva o vulnerabilitate de falsificare în care atacatorul poate injecta imagini sau text îmbogățit (HTML), dar nu este eligibil pentru o recompensă. Injecția de text pur nu intră în domeniul de aplicare.
  • Abilitatea de a partaja linkuri fără a verifica e-mailurile.
  • Absența limitării ratei, dacă nu este legat de autentificare.
  • Vulnerabilitățile de descărcare a fișierelor reflectate sau orice vulnerabilități care vă permit să începeți o descărcare pe computerul utilizatorului nu intră în domeniul de aplicare.
  • Scanare IP / Port prin serviciile LogMeOnce, cu excepția cazului în care sunteți capabil să accesați IP-uri private sau servere LogMeOnce.
  • Dispozitive (ios, Android, aplicații desktop) nu se deconectează la schimbarea parolei.
  • Injecție de hyperlink sau orice injecție de link în e-mailurile pe care le trimitem.
  • Crearea mai multor conturi utilizând același e-mail este, de asemenea, în afara domeniului de aplicare.
  • Riscul de phishing prin intermediul problemelor unicode / punycode sau RTLO.
  • Posibilitatea de a încărca fișiere cu extensia greșită în selector.
  • Wiki-uri Github editabile.

Note privind trimiterile SSRF

Înainte de a trimite un raport SSRF, vă rugăm să vă asigurați că răspunsul pe care îl primiți nu este nici unul:

  • resetați
  • HTTP / 1.1 403 Interzis

Oricare dintre aceste răspunsuri indică de obicei că solicitarea dvs. a fost blocată și nu este un SSRF valid.

Consecințele respectării acestei politici

Nu vom urmări acțiuni civile și nici nu vom iniția o plângere către forțele de ordine pentru accident, încălcări de bună credință ale acestei politici. Considerăm că activitățile desfășurate în conformitate cu această politică constituie o conduită „autorizată” în temeiul Legii privind frauda și abuzul pe computer. În măsura în care activitățile dvs. sunt incompatibile cu anumite restricții din Politica noastră de utilizare acceptabilă, renunțăm la aceste restricții în scopul limitat de a permite cercetarea securității în temeiul acestei politici. Nu vom introduce o reclamație DMCA împotriva dvs. pentru eludarea măsurilor tehnologice pe care le-am folosit pentru a proteja aplicațiile din domeniul de aplicare.

Dacă o acțiune judiciară este inițiată de o terță parte împotriva dvs. și ați respectat politica Log Bounty pentru LogMeOnce, LogMeOnce va lua măsuri pentru a face cunoscut faptul că acțiunile dvs. au fost efectuate în conformitate cu această politică.

Tipărirea fină

Sunteți responsabil pentru plata oricăror impozite asociate recompenselor. Putem modifica termenii acestui program sau îl putem încheia în orice moment. Nu vom aplica retroactiv modificările aduse acestor termeni ai programului. Rapoartele de la persoane cărora ni se interzice prin lege să le plătim nu sunt eligibile pentru recompense. Angajații LogMeOnce și membrii familiei lor nu sunt eligibili pentru recompense.

Raportarea

Trimiteți toate detaliile la [email protected] cu subiectul „Divulgarea vulnerabilității LogMeOnce”.

Vă rugăm să includeți o adresă de e-mail comercială validă, și profilul social media.

Excepții

Cu excepția cazului în care se prevede altfel, nu există excepții de la această politică.

Perioada de păstrare a procedurii: In permanenta, sau până când este înlocuit.

Ciclul de revizuire / revizuire: Anual

Rețineți că această politică / procedură poate fi revizuită în orice moment de către proprietar sau altă parte autorizată. Perioada de timp menționată aici a stabilit timpul maxim care poate trece de la data emiterii înainte ca procedura să fie cel puțin revizuită pentru acuratețe și relevanță.

Data revizuirii: 08-2020