Verantwoordelijke openbaarmaking

SSL-beveiliging

Verantwoordelijke openbaarmaking

Onze klanten vertrouwen erop dat wij hun gegevens veilig en vertrouwelijk behandelen. Wij nemen beveiliging zeer serieus en doen er voortdurend alles aan om ervoor te zorgen dat dit vertrouwen terecht is. Wilt u iets melden? Neem dan contact met ons op via security@teamretro.com

Verantwoordelijke melding

Wij moedigen iedereen die zich houdt aan de beginselen van verantwoorde openbaarmaking en onze beleidsregels en servicevoorwaarden naleeft, aan om deel te nemen aan ons programma voor het melden van kwetsbaarheden. Vermijd geautomatiseerde tests en voer beveiligingstests uitsluitend uit met uw eigen gegevens. Maak geen informatie over de kwetsbaarheden openbaar voordat wij deze hebben verholpen. Wij kunnen, naar eigen goeddunken, erkenning toekennen voor hoogwaardige, impactvolle meldingen die een reëel beveiligingsrisico aantonen.

U kunt kwetsbaarheden melden door contact op te nemen via security@teamretro.com. Gelieve een proof of concept mee te sturen. Wij zullen zo snel mogelijk op uw melding reageren en zullen geen juridische stappen ondernemen indien u zich aan de regels houdt.

Dekking:

secure.teamretro.com

Uitsluitingen:

*.eu.TeamRetro.com
ww1.TeamRetro.com
ww2.TeamRetro.com
ww3.TeamRetro.com
www.teamretro.com
op.TeamRetro.com
help.teamretro.com
feedback.teamretro.com
mail.TeamRetro.com
status.TeamRetro.com
track.TeamRetro.com
games.teamretro.com
icebreaker.teamretro.com
ideas.teamretro.com
planning-poker.teamretro.com
www-assets.TeamRetro.com

De volgende kwetsbaarheden worden geaccepteerd:

Cross-Site Scripting (XSS)
Open omleiding
Cross-site Request Forgery (CSRF)
Opname van opdrachten/bestanden/URL’s
Problemen met authenticatie
Uitvoering van code
Code- of database-injecties

Dit programma voor het melden van kwetsbaarheden omvat NIET:

Het opsporen van accounts en e-mailadressen
Denial-of-Service (DoS)
Aanvallen die de betrouwbaarheid of integriteit van onze bedrijfsvoering in gevaar kunnen brengen
Spamaanvallen
Clickjacking op pagina’s zonder authenticatie en/of gevoelige statuswijzigingen
Waarschuwingen voor gemengde inhoud
Het ontbreken van DNSSEC
Inhoudsvervalsing / tekstinjectie
Timing-aanvallen
Social engineering
Phishing
Onbeveiligde cookies voor niet-gevoelige cookies of cookies van derden
Kwetsbaarheden waarvoor een uiterst onwaarschijnlijke interactie van de gebruiker vereist is
Exploits waarvoor fysieke toegang tot de computer van een gebruiker vereist is
Ontbrekende beveiligingsheaders die niet direct tot een kwetsbaarheid leiden
Ontbrekende best practices (wij hebben bewijs nodig van een beveiligingslek)
Rapporten die worden gegenereerd door geautomatiseerde scanners zonder aantoonbare impact
Ontbrekende beveiligingsheaders zonder aangetoonde kwetsbaarheid
Problemen met de SSL/TLS-configuratie zonder dat er sprake is van een aangetoonde kwetsbaarheid
Ontbrekende snelheidsbeperking
Self-XSS (hierbij moet het slachtoffer de code in zijn eigen console plakken)
Inloggen/uitloggen CSRF
Beveiligingslekken waarvoor verouderde of niet langer ondersteunde browsers vereist zijn
Dubbele meldingen of reeds bekende problemen

Inzendingsvoorwaarden

Alle rapporten moeten de volgende gegevens bevatten, anders worden ze niet in behandeling genomen:

Betrokken URL of eindpunt
Stapsgewijze instructies voor het namaken
Proof of concept (schermafbeeldingen, video of code)
Beschrijving van de gevolgen voor de veiligheid

Geautomatiseerd scannen is niet toegestaan zonder voorafgaande schriftelijke toestemming. Alle tests moeten handmatig worden uitgevoerd en alle details van het programma voor het melden van kwetsbaarheden moeten vertrouwelijk blijven.

Onze dank gaat uit naar de volgende beveiligingsonderzoekers:

Abin Joseph
daniel_v
Ananda Dhakal
Luiz Viana
Aman Gupta
Vipul Sahu
Hsu Myat Noe
Tomasz Bartoszewski
Harry Gertos
Sathwik Veeramaneni
Yassine Nafiai
SIDN SOC
Burhan Chhotaudepur
Faizan Nehal
Aaditya Kumar Sharma
Syed Ahsan Raza
Mohammed Eldawody
Yaniv Shoshani
Lucas Werkmeister
Ankit Rathva