Odpowiedzialne ujawnienie
Nasi klienci ufają nam, że ich dane są bezpieczne i poufne. Bezpieczeństwo traktujemy poważnie i nieustannie pracujemy, aby to zaufanie było uzasadnione. Masz coś do zgłoszenia? Skontaktuj się z nami pod adresem security@teamretro.com
Odpowiedzialne ujawnienie
Zachęcamy wszystkich, którzy stosują odpowiedzialne ujawnianie i przestrzegają naszych zasad oraz warunków świadczenia usług, do udziału w naszym programie ujawniania luk w zabezpieczeniach. Prosimy unikać testów automatycznych i przeprowadzać testy bezpieczeństwa wyłącznie na własnych danych. Prosimy nie ujawniać żadnych informacji dotyczących luk w zabezpieczeniach, dopóki ich nie naprawimy. Możemy, według naszego wyłącznego uznania, zaoferować uznanie za wysokiej jakości, wpływowe raporty, które wykazują rzeczywiste ryzyko bezpieczeństwa.
Luki w zabezpieczeniach można zgłaszać, kontaktując się z security@teamretro.com. Prosimy o dołączenie dowodu koncepcji. Odpowiemy tak szybko, jak to możliwe, na Twoje zgłoszenie i nie podejmiemy działań prawnych, jeśli będziesz przestrzegać zasad.
Zakres:
- secure.teamretro.com
Wykluczenia:
- *.eu.teamretro.com
- ww1.teamretro.com
- ww2.teamretro.com
- ww3.teamretro.com
- www.teamretro.com
- at.teamretro.com
- help.teamretro.com
- feedback.teamretro.com
- mail.teamretro.com
- status.teamretro.com
- track.teamretro.com
- games.teamretro.com
- icebreaker.teamretro.com
- ideas.teamretro.com
- planning-poker.teamretro.com
- www-assets.teamretro.com
Akceptowane luki w zabezpieczeniach to:
- Skrypty międzywitrynowe (XSS)
- Otwarte przekierowanie
- Fałszerstwo żądań międzywitrynowych (CSRF)
- Włączenie polecenia/pliku/URL
- Problemy z uwierzytelnianiem
- Wykonanie kodu
- Wstrzykiwanie kodu lub bazy danych
Ten program ujawniania luk w zabezpieczeniach NIE obejmuje:
- Wyliczania kont/adresów e-mail
- Ataków typu odmowa usługi (DoS)
- Ataków, które mogłyby zaszkodzić niezawodności/integralności naszej działalności
- Ataków spamowych
- Clickjackingu na stronach bez uwierzytelniania i/lub wrażliwych zmian stanu
- Ostrzeżeń o mieszanej zawartości
- Braku DNSSEC
- Fałszowania treści / wstrzykiwania tekstu
- Ataków czasowych
- Inżynierii społecznej
- Phishingu
- Niebezpiecznych plików cookie dla plików cookie niewrażliwych lub stron trzecich
- Luk w zabezpieczeniach wymagających niezwykle mało prawdopodobnej interakcji użytkownika
- Exploitów wymagających fizycznego dostępu do maszyny użytkownika
- Braku nagłówków bezpieczeństwa, które nie prowadzą bezpośrednio do luki w zabezpieczeniach
- Braku najlepszych praktyk (wymagamy dowodu luki w zabezpieczeniach)
- Raportów generowanych przez automatyczne skanery bez udowodnionego wpływu
- Braku nagłówków bezpieczeństwa bez udowodnionego exploita
- Problemów z konfiguracją SSL/TLS bez udowodnionego exploita
- Braku ograniczenia szybkości
- Self-XSS (wymaga od ofiary wklejenia kodu do własnej konsoli)
- CSRF logowania/wylogowania
- Luk w zabezpieczeniach wymagających przestarzałych lub nieobsługiwanych przeglądarek
- Zduplikowanych raportów lub wcześniej znanych problemów
Wymagania dotyczące zgłoszeń
Wszystkie raporty muszą zawierać poniższe informacje, w przeciwnym razie nie zostaną rozpatrzone:
- Dotknięty adres URL lub punkt końcowy
- Instrukcje krok po kroku dotyczące reprodukcji
- Dowód koncepcji (zrzuty ekranu, wideo lub kod)
- Opis wpływu na bezpieczeństwo
Automatyczne skanowanie jest niedozwolone bez uprzedniej pisemnej zgody. Wszystkie testy muszą być wykonywane ręcznie, a wszystkie szczegóły programu ujawniania luk w zabezpieczeniach muszą pozostać poufne.
Dziękujemy następującym badaczom bezpieczeństwa:
- Abin Joseph
- daniel_v
- Ananda Dhakal
- Luiz Viana
- Aman Gupta
- Vipul Sahu
- Hsu Myat Noe
- Tomasz Bartoszewski
- Harry Gertos
- Sathwik Veeramaneni
- Yassine Nafiai
- SIDN SOC
- Burhan Chhotaudepur
- Faizan Nehal
- Aaditya Kumar Sharma
- Syed Ahsan Raza
- Mohammed Eldawody
- Yaniv Shoshani
- Lucas Werkmeister
- Ankit Rathva