Odpowiedzialne ujawnianie informacji

Proszę zachować bezpieczeństwo i przejrzystość dzięki odpowiedzialnemu ujawnianiu informacji w TeamRetro. Proszę zapoznać się z naszą polityką zgłaszania luk w zabezpieczeniach i zapewniania ochrony danych.

Zabezpieczenia SSL

Odpowiedzialne ujawnianie informacji

Nasi klienci ufają nam, że zapewnimy bezpieczeństwo i poufność ich danych. Traktujemy kwestię bezpieczeństwa bardzo poważnie i nieustannie pracujemy nad tym, aby ta zaufanie było w pełni uzasadnione. Chcieliby Państwo zgłosić jakąś sprawę? Prosimy o kontakt pod adresem security@TeamRetro.com

Odpowiedzialne ujawnianie informacji

Zachęcamy wszystkich, którzy stosują zasadę odpowiedzialnego ujawniania luk i przestrzegają naszych zasad oraz warunków świadczenia usług, do udziału w naszym programie zgłaszania luk w zabezpieczeniach. Prosimy o unikanie testów automatycznych i przeprowadzanie testów bezpieczeństwa wyłącznie przy użyciu własnych danych. Prosimy o nieujawnianie żadnych informacji dotyczących luk w zabezpieczeniach do czasu ich usunięcia przez nas. Możemy, według własnego uznania, przyznać wyróżnienie za wysokiej jakości, istotne zgłoszenia, które wskazują na rzeczywiste zagrożenie bezpieczeństwa.

Można zgłaszać luki w zabezpieczeniach, kontaktując się z nami pod adresem security@teamretro.com. Prosimy o dołączenie dowodu potwierdzającego istnienie luki. Odpowiemy na Państwa zgłoszenie tak szybko, jak to możliwe, i nie będziemy podejmować kroków prawnych, o ile będą Państwo przestrzegać zasad.

Zakres:

  • secure.teamretro.com

Wyłączenia:

  • *.eu.TeamRetro.com
  • ww1.TeamRetro.com
  • ww2.TeamRetro.com
  • ww3.TeamRetro.com
  • www.teamretro.com
  • na stronie at.teamretro.com
  • help.teamretro.com
  • feedback.teamretro.com
  • mail.TeamRetro.com
  • status.TeamRetro.com
  • track.TeamRetro.com
  • games.teamretro.com
  • icebreaker.teamretro.com
  • ideas.teamretro.com
  • planning-poker.teamretro.com
  • www-assets.TeamRetro.com

Uznane luki w zabezpieczeniach to:

  • Atak typu cross-site scripting (XSS)
  • Otwarte przekierowanie
  • Fałszowanie żądań międzywitrynowych (CSRF)
  • Włączanie poleceń/plików/adresów URL
  • Problemy z uwierzytelnianiem
  • Wykonanie kodu
  • Wstrzyknięcia kodu lub danych z bazy danych

Niniejszy program zgłaszania luk w zabezpieczeniach NIE obejmuje:

  • Wykazywanie kont/adresów e-mail
  • Atak typu „odmowa usługi” (DoS)
  • Ataki, które mogą zagrozić niezawodności lub integralności naszej działalności
  • Ataki spamowe
  • Clickjacking na stronach bez uwierzytelniania i/lub wrażliwych zmianach stanu
  • Ostrzeżenia dotyczące treści mieszanych
  • Brak protokołu DNSSEC
  • Fałszowanie treści / wstawianie tekstu
  • Ataki czasowe
  • Inżynieria społeczna
  • Phishing
  • Pliki cookie niezabezpieczone w przypadku plików cookie niewymagających szczególnej ochrony lub plików cookie stron trzecich
  • Luki w zabezpieczeniach wymagające niezwykle mało prawdopodobnej interakcji użytkownika
  • Luki w zabezpieczeniach wymagające fizycznego dostępu do komputera użytkownika
  • Brakujące nagłówki zabezpieczeń, które nie powodują bezpośrednio luki w zabezpieczeniach
  • Brak najlepszych praktyk (wymagamy dowodów na istnienie luki w zabezpieczeniach)
  • Raporty generowane przez automatyczne skanery, których skuteczność nie została potwierdzona
  • Brakujące nagłówki zabezpieczeń bez potwierdzonego exploita
  • Problemy z konfiguracją protokołów SSL/TLS bez wykazanego sposobu wykorzystania luki
  • Brak ograniczenia szybkości
  • Self-XSS (wymaga od ofiary wklejenia kodu do własnej konsoli)
  • Logowanie/wylogowanie – CSRF
  • Luki w zabezpieczeniach wymagające użycia przestarzałych lub nieobsługiwanych przeglądarek
  • Zgłoszenia zduplikowane lub znane już problemy

Wymagania dotyczące zgłoszeń

Wszystkie zgłoszenia muszą zawierać poniższe informacje, w przeciwnym razie nie zostaną rozpatrzone:

  • Adres URL lub punkt końcowy, którego dotyczy problem
  • Szczegółowa instrukcja wykonania
  • Potwierdzenie słuszności koncepcji (zrzuty ekranu, film lub kod)
  • Opis skutków dla bezpieczeństwa

Automatyczne skanowanie jest zabronione bez uprzedniej pisemnej zgody. Wszystkie testy muszą być przeprowadzane ręcznie, a wszelkie szczegóły dotyczące programu ujawniania luk w zabezpieczeniach muszą pozostać poufne.

Serdecznie dziękujemy następującym badaczom zajmującym się bezpieczeństwem:

  • Abin Joseph
  • daniel_v
  • Ananda Dhakal
  • Luiz Viana
  • Aman Gupta
  • Vipul Sahu
  • Hsu Myat Noe
  • Tomasz Bartoszewski
  • Harry Gertos
  • Sathwik Veeramaneni
  • Yassine Nafiai
  • SIDN SOC
  • Burhan Chhotaudepur
  • Faizan Nehal
  • Aaditya Kumar Sharma
  • Syed Ahsan Raza
  • Mohammed Eldawody
  • Yaniv Shoshani
  • Lucas Werkmeister
  • Ankit Rathva