Nous prenons la sécurité de nos systèmes et services très au sérieux. Nous apprécions les efforts de la communauté de la recherche en sécurité pour nous aider à maintenir les normes de sécurité les plus élevées. Cette politique décrit les lignes directrices pour les chercheurs en sécurité lors de la recherche ou du signalement de vulnérabilités.
Les systèmes et services suivants sont inclus dans notre programme de recherche en sécurité :
Site web principal et applications web : https://subnoto.com et tous les sous-domaines
Points de terminaison API : Tous les points d'accès API accessibles publiquement
Infrastructure : Services réseau et infrastructure accessibles publiquement
Intégrations tierces : Problèmes de sécurité dans notre implémentation de services tiers
Les domaines suivants sont considérés comme hors périmètre pour notre programme de recherche en sécurité :
Services tiers : Problèmes dans les services tiers que nous utilisons (à signaler directement au fournisseur)
Sécurité physique : Accès physique à nos locaux ou équipements
Ingénierie sociale : Attaques contre nos employés ou utilisateurs
Attaques par déni de service : Tout test pouvant impacter la disponibilité du service
Spam ou injection de contenu : Problèmes de contenu non liés à la sécurité
Problèmes nécessitant un accès physique aux appareils ou comptes des utilisateurs
Fournir des rapports détaillés avec des étapes claires pour reproduire la vulnérabilité
Nous laisser un délai raisonnable pour enquêter et corriger le problème avant toute divulgation publique
Éviter d'accéder, de modifier ou de supprimer les données appartenant à d'autres
Tester uniquement les systèmes que vous possédez ou pour lesquels vous avez une autorisation explicite
Respecter la vie privée des utilisateurs et ne pas accéder ou conserver d'informations personnelles
Signaler les vulnérabilités dès que possible après leur découverte
Utiliser la dernière version des applications lors des tests
Mener des activités susceptibles de nuire à nos systèmes, services ou utilisateurs
Accéder, modifier ou supprimer des données qui ne vous appartiennent pas
Perturber nos services ou dégrader l'expérience utilisateur
Effectuer des tests pouvant impacter d'autres utilisateurs
Partager publiquement des vulnérabilités avant que nous ayons eu le temps d'y remédier
Exiger une compensation ou menacer de divulgation publique comme moyen de pression
Nous nous engageons à offrir la clause de non-poursuite suivante aux chercheurs en sécurité qui :
Respectent cette politique de divulgation responsable
Signalent les vulnérabilités de bonne foi
Ne violent aucune loi ni aucun accord
Nos engagements :
Nous n'engagerons pas de poursuites contre les chercheurs agissant de bonne foi
Nous collaborerons avec les chercheurs pour comprendre et résoudre les problèmes de sécurité
Nous reconnaîtrons les chercheurs qui contribuent à améliorer notre sécurité (avec leur accord)
Nous accorderons un délai raisonnable pour l'investigation et la correction
Envoyez votre signalement initial à notre équipe sécurité par l'un des moyens suivants :
Portail sécurité : https://subnoto.com/.well-known/security.txt
Veuillez inclure les informations suivantes dans votre signalement :
Résumé : Brève description de la vulnérabilité
Criticité : Votre évaluation de l'impact potentiel
Étapes de reproduction : Instructions détaillées, étape par étape
Preuve de concept : Preuve démontrant la vulnérabilité
Systèmes affectés : URLs, applications ou systèmes concernés
Navigateur/Environnement : Détails techniques sur votre environnement de test
Impact potentiel : Description de ce qu'un attaquant pourrait accomplir
Correction suggérée : Recommandations pour la remédiation (si applicable)
Nous répondrons selon le calendrier suivant :
Accusé de réception initial : Sous 2 jours ouvrés
Triage et validation : Sous 5 jours ouvrés
Mises à jour régulières : Tous les 7 jours pendant l'investigation
Délai de résolution : Variable selon la criticité et la complexité
Nous utilisons les niveaux de criticité suivants basés sur le score CVSS v3.1 :
Niveaux de criticité | Plage de criticité | Examples |
---|---|---|
Critique | 9.0-10.0 | Exécution de code à distance sur des systèmes critiques, Compromission totale du système, Exposition massive de données |
Élevée | 7.0-8.9 | Élévation de privilèges au niveau administrateur, Exposition significative de données, Contournement d'authentification sur des systèmes sensibles |
Moyenne | 4.0-6.9 | Élévation de privilèges limitée, Exposition modérée de données, XSS avec impact significatif |
Faible | 0.1-3.9 | Divulgation d'information à faible impact, Problèmes mineurs d'authentification, Vulnérabilités d'injection à faible impact |
Critique/Élevée : Réponse initiale sous 24h, mises à jour tous les 2-3 jours
Moyenne : Réponse initiale sous 48h, mises à jour hebdomadaires
Faible : Réponse initiale sous 5 jours ouvrés, mises à jour bi-hebdomadaires
Nous suivons une approche de divulgation coordonnée :
Délai standard : 90 jours à partir du signalement initial
Délai étendu : Peut être négocié pour des problèmes complexes
Divulgation immédiate : Pour les problèmes activement exploités
Divulgation anticipée : Avec l'accord de toutes les parties
Email principal : [email protected]
PGP Key: serveur OpenPGP
Des tests limités sont autorisés sur les systèmes de production, mais vous ne devez pas impacter la disponibilité du service ni accéder aux données d'autrui.
Veuillez la signaler directement au fournisseur tiers et nous informer si cela affecte notre implémentation.
Non, veuillez attendre que nous ayons eu le temps d'enquêter et de résoudre le problème.
Contactez-nous immédiatement. Si vous suiviez cette politique de bonne foi, nous travaillerons avec vous pour résoudre la situation.
Vous recevrez une confirmation automatique sous 24h, suivie d'un accusé de réception humain dans nos délais de réponse annoncés.