Policy för avslöjande av sårbarhet

Hem - Policy för avslöjande av sårbarhet

Sammanfattning

Varje dag skapas nya säkerhetsproblem och cybersäkerhetsattacker. LogMeOnce använder avancerad säkerhetsutveckling genom att arbeta med säkerhetsforskare och företag. Syftet med detta dokument är att beskriva villkoren och villkoren för att vi betalar bounties; för etiskt rapporterade buggar.

Politik

Att hålla användarinformation säker och säker är högsta prioritet och en grundprincip på LogMeOnce. Vi välkomnar bidraget från externa säkerhetsforskare och ser fram emot att tilldela dem för deras ovärderliga bidrag till säkerheten för alla LogMeOnce-anställda och användare.

Belöningar

LogMeOnce ger belöningar till sårbarhetsreporter efter eget gottfinnande (se ordentligt “Rapportering”). Vår belöning är $30 USD för låg påverkan, $50 USD för medelstor påverkan. Belöningsbeloppen kan variera beroende på hur allvarlig den rapporterade sårbarheten är och rapportens kvalitet. Tänk på att detta inte är en tävling eller tävling.

Tillämpningar i omfattning

LogMeOnce-lösningar som vetter utåt och LogMeOnce-produkter som för närvarande stöds finns inom omfattningen.

Behörighet och ansvarsfullt offentliggörande

Att främja upptäckt och rapportering av sårbarheter och öka användarsäkerheten, vi ber dig:

  • Handla i god tro för att undvika kränkning av integriteten, förstörelse av data, och avbrott eller försämring av våra tjänster (inklusive förnekelse av tjänsten);
  • Få inte åtkomst till eller modifiera vår data eller våra användares data, utan uttryckligt tillstånd från ägaren. Interagera endast med dina egna konton eller testkonton för säkerhetsforskningsändamål;
  • Kontakta oss omedelbart om du av misstag stöter på användardata. Se inte, ändra, spara, Lagra, överföra, eller på annat sätt få tillgång till uppgifterna, och rensa omedelbar lokal information när du rapporterar sårbarheten till LogMeOnce;
  • Var respektfull för våra befintliga applikationer. Skräppostformulär genom automatiserade sårbarhetsskannrar kommer inte att leda till någon belöning eller tilldelning eftersom de uttryckligen inte omfattas;
  • Dela säkerhetsfrågan med oss ​​i detalj;
  • Ge oss en rimlig tid att svara på problemet; och
  • I annat fall följa alla tillämpliga lagar.

Vi belönar bara den första reportern av en sårbarhet. Offentliggörande av sårbarheten är inte tillåten och avbryter en väntande belöning. Vi förbehåller oss rätten att diskvalificera individer från programmet för respektlöst eller störande beteende.

Vi kommer inte att förhandla som svar på tvång eller hot (t.ex., vi kommer inte att förhandla ut utbetalningsbeloppet under hot om att hålla kvar sårbarheten eller hotet att släppa sårbarheten eller någon exponerad information till allmänheten).

Sårbarheter utanför ramen

Följande frågor ligger utanför vårt belöningsprogram:

  • Vår policy för närvaro / frånvaro av SPF / DMARC-poster.
  • Lösenord, e-post, och kontopolicyer, som e-post-verifiering, återställ länkens utgång, lösenordskomplexitet.
  • Brist på CSRF-tokens (såvida det inte finns bevis för faktiska, känslig användaråtgärd inte skyddad av en token).
  • Logga in / logga ut CSRF.
  • Attacker som kräver fysisk åtkomst till en användares enhet.
  • Saknade säkerhetsrubriker som inte leder direkt till en sårbarhet.
  • Best practices saknas (vi kräver bevis på en säkerhetsproblem).
  • Själv-XSS (vi behöver bevis på hur XSS kan användas i en attack).
  • Värdhuvudinjektioner om du inte kan visa hur de kan leda till att stjäla data.
  • Användning av ett känt sårbart bibliotek (utan bevis för exploaterbarhet).
  • Frågor relaterade till programvara för buggy som inte är LogMeOnce.
  • Rapporter från automatiserade verktyg eller skanningar.
  • Rapporter om skräppost (d.v.s., varje rapport som involverar förmågan att skicka e-post utan räntebegränsningar).
  • Attacker som kräver att angripar-appen har tillstånd att överlägga ovanpå vår app (t.ex., tapjacking).
  • Sårbarheter som påverkar användare av föråldrade webbläsare eller plattformar.
  • Socialteknik för LogMeOnce-anställda eller entreprenörer.
  • Eventuella fysiska försök mot LogMeOnce-egendom eller datacenter.
  • Förekomst av autofullständigt attribut på webbformulär.
  • Saknade cookieflaggor på icke-känsliga cookies saknas.
  • Rapporter om osäkra SSL / TLS-kodningar (såvida du inte har ett fungerande bevis på konceptet och inte bara en rapport från en skanner).
  • Varje åtkomst till data där den riktade användaren måste ha en rotad mobil enhet.
  • Alla rapporter om DLL-kapning utan att visa hur det får nya privilegier är också utanför räckvidden.
  • Varje rapport om hur LogMeOnce-lösningar kan användas för att servera skadlig kod.
  • Sårbarheter i innehållsspoofing (där du bara kan injicera text eller en bild på en sida) är utanför räckvidden.
  • Vi accepterar och löser en förfalskningssårbarhet där angriparen kan injicera bild eller rik text (HTML), men det är inte berättigat till en bounty. Ren textinjektion är utanför räckvidden.
  • Möjlighet att dela länkar utan att verifiera e-post.
  • Frånvaro av hastighetsbegränsande, om inte relaterat till autentisering.
  • Reflekterade sårbarheter för nedladdning av filer eller sårbarheter som låter dig starta en nedladdning till användarens dator är utanför räckvidden.
  • IP / Port-skanning via LogMeOnce-tjänster såvida du inte kan slå privata IP-adresser eller LogMeOnce-servrar.
  • Enheter (ios, Android, stationära appar) blir inte avlänkad vid ändring av lösenord.
  • Hyperlinkinjektion eller någon länkinjektion i e-postmeddelanden som vi skickar.
  • Att skapa flera konton med samma e-post är också utanför tillämpningsområdet.
  • Nätfiskrisk via unicode / punycode eller RTLO-problem.
  • Att kunna ladda upp filer med fel tillägg i väljaren.
  • Redigerbara Github-wikier.

Anteckningar om SSRF-inlämningar

Innan du skickar en SSRF-rapport, se till att svaret du får är varken:

  • återställa
  • HTTP / 1.1 403 Förbjuden

Endera av dessa svar indikerar vanligtvis att din begäran har blockerats och inte är en giltig SSRF.

Konsekvenser av att denna policy följs

Vi kommer inte att driva civilrättsliga åtgärder eller inleda ett klagomål till brottsbekämpning för oavsiktlig, god tro överträdelser av denna policy. Vi anser att aktiviteter som bedrivs i enlighet med denna policy utgör ”auktoriserat” beteende enligt lagen om datorbedrägeri och missbruk. I den utsträckning dina aktiviteter är oförenliga med vissa begränsningar i vår policy för godtagbar användning, vi avstår från dessa begränsningar för det begränsade syftet att tillåta säkerhetsforskning enligt denna policy. Vi kommer inte att göra något DMCA-krav mot dig för att kringgå de tekniska åtgärder som vi har använt för att skydda de tillämpningar som omfattas.

Om rättsliga åtgärder inleds av en tredje part mot dig och du har följt LogMeOnces Bug Bounty-policy, LogMeOnce kommer att vidta åtgärder för att göra det känt att dina handlingar genomfördes i enlighet med denna policy.

Det finstilta

Du är ansvarig för att betala eventuella skatter som är förknippade med belöningar. Vi kan när som helst ändra villkoren i detta program eller avsluta detta program. Vi kommer inte att tillämpa några ändringar i dessa programvillkor med retroaktiv verkan. Rapporter från individer som vi enligt lag är förbjudna att betala är inte berättigade till belöningar. LogMeOnce anställda och deras familjemedlemmar är inte berättigade till bounties.

rapportering

Skicka all information till [email protected] med ämnesraden "LogMeOnce avslöjande om sårbarhet".

Ange en giltig e-postadress för företaget, och sociala medieprofiler.

undantag

Om inte annat anges, det finns inga undantag från denna policy.

Förvaringsperiod för procedur: Permanent, eller tills den ersätts.

Revisions- / granskningscykel: Årlig

Observera att denna policy / procedur kan revideras när som helst av ägaren eller någon annan auktoriserad part. Tidsperioden som anges här fastställde den maximala tid som kan gå sedan utfärdandedatum innan proceduren åtminstone granskas för noggrannhet och relevans.

Revisionsdatum: 08-2020