Divulgation responsable
Our customers trust us to keep their data secure and confidential. We take security seriously and work constantly to ensure that trust is well-founded. Tu as quelque chose à signaler ? Contacte-nous à l’adresse security@teamretro.com
Responsible disclosure
Nous encourageons toute personne pratiquant la divulgation responsable et respectant nos politiques et conditions d’utilisation à participer à notre programme de divulgation des vulnérabilités. Please avoid automated testing and only perform security testing with your own data. Please do not disclose any information regarding the vulnerabilities until we fix them. Nous pouvons, à notre seule discrétion, offrir une reconnaissance pour les rapports de haute qualité et percutants qui démontrent un risque de sécurité réel.
Tu peux signaler des vulnérabilités en contactant security@teamretro.com. Merci d’inclure une preuve de concept. Nous répondrons le plus rapidement possible à ton envoi et n’engagerons pas de poursuites judiciaires si tu respectes les règles.
Périmètre :
- secure.teamretro.com
Exclusions :
- *.eu.teamretro.com
- ww1.teamretro.com
- ww2.teamretro.com
- ww3.teamretro.com
- www.teamretro.com
- at.teamretro.com
- help.teamretro.com
- feedback.teamretro.com
- mail.teamretro.com
- status.teamretro.com
- track.teamretro.com
- games.teamretro.com
- icebreaker.teamretro.com
- ideas.teamretro.com
- planning-poker.teamretro.com
- www-assets.teamretro.com
Les vulnérabilités acceptées sont les suivantes :
- Cross-Site Scripting (XSS)
- Redirection ouverte
- Cross-site Request Forgery (CSRF)
- Inclusion de commande/fichier/URL
- Problèmes d’authentification
- Exécution de code
- Injections de code ou de base de données
Ce programme de divulgation de vulnérabilités n’inclut PAS :
- Énumérations de comptes/e-mails
- Déni de service (DoS)
- Attaques pouvant nuire à la fiabilité ou à l’intégrité de notre entreprise
- Attaques de spam
- Clickjacking sur des pages sans authentification et/ou changements d’état sensibles
- Avertissements de contenu mixte
- Absence de DNSSEC
- Détournement de contenu / injection de texte
- Attaques temporelles
- Ingénierie sociale
- Phishing
- Cookies non sécurisés pour les cookies non sensibles ou les cookies tiers
- Vulnérabilités nécessitant une interaction utilisateur extrêmement improbable
- Exploits nécessitant un accès physique à la machine d’un utilisateur
- En-têtes de sécurité manquants ne menant pas directement à une vulnérabilité
- Absence de bonnes pratiques (nous exigeons la preuve d’une vulnérabilité de sécurité)
- Rapports générés par des scanners automatisés sans impact démontré
- En-têtes de sécurité manquants sans exploit démontré
- Problèmes de configuration SSL/TLS sans exploit démontré
- Absence de limitation de débit
- Self-XSS (nécessite que la victime colle du code dans sa propre console)
- CSRF de connexion/déconnexion
- Vulnérabilités nécessitant des navigateurs obsolètes ou non pris en charge
- Rapports en double ou problèmes déjà connus
Conditions de soumission
Tous les rapports doivent inclure les éléments suivants, sous peine de ne pas être examinés :
- URL ou point de terminaison concerné
- Instructions de reproduction étape par étape
- Preuve de concept (captures d’écran, vidéo ou code)
- Description de l’impact sur la sécurité
L’analyse automatisée n’est pas autorisée sans accord écrit préalable. Tous les tests doivent être effectués manuellement et tous les détails du programme de divulgation des vulnérabilités doivent rester confidentiels.
Nos remerciements vont aux chercheurs en sécurité suivants :
- Abin Joseph
- daniel_v
- Ananda Dhakal
- Luiz Viana
- Aman Gupta
- Vipul Sahu
- Hsu Myat Noe
- Tomasz Bartoszewski
- Harry Gertos
- Sathwik Veeramaneni
- Yassine Nafiai
- SIDN SOC
- Burhan Chhotaudepur
- Faizan Nehal
- Aaditya Kumar Sharma
- Syed Ahsan Raza
- Mohammed Eldawody
- Yaniv Shoshani
- Lucas Werkmeister
- Ankit Rathva