Unloc AS retningslinjer for avsløring av sårbarhet

Introduksjon

Unloc AS tar gjerne imot tilbakemeldinger fra sikkerhetsforskere og allmennheten for å bidra til å forbedre sikkerheten vår. Hvis du mener at du har oppdaget en sårbarhet, personvernproblem, eksponerte data eller andre sikkerhetsproblemer i noen av våre eiendeler, ønsker vi å høre fra deg. Denne policyen skisserer trinn for å rapportere sårbarheter til oss, hva vi forventer, hva du kan forvente av oss.

Systemer i Scope

Denne policyen gjelder for følgende eiendeler som eies eller drives av Unloc .

  • Unloc-appen
  • unloc.app
  • api.unloc.app
  • min.unloc.app

Utenfor omfang

  • Eiendeler eller annet utstyr som ikke eies av partene som deltar i denne policyen.
  • Sårbarheter som oppdages eller mistenkes i systemer som ikke er omfattet, bør rapporteres til den aktuelle leverandøren eller gjeldende myndighet.

Våre forpliktelser

Når du jobber med oss, i henhold til denne policyen, kan du forvente at vi:

  • Svarer raskt på rapporteringen din, og samarbeider med deg for å forstå og validere din rapportering;
  • Streber etter å holde deg informert om fremdriften til en sårbarhet mens den behandles;
  • Arbeider for å utbedre oppdagede sårbarheter i tide, innenfor våre operasjonelle begrensninger; og
  • Utvider Safe Harbor for din sårbarhetsforskning som er relatert til denne policyen.

Våre forventninger

Ved å delta i vårt program for avsløring av sårbarheter i god tro, ber vi deg:

  • Spill etter reglene, inkludert å følge denne policyen og andre relevante avtaler. Hvis det er noen inkonsekvens mellom denne policyen og andre gjeldende vilkår, vil vilkårene i denne policyen gjelde;
  • Rapporter alle sårbarheter du har oppdaget umiddelbart;
  • Unngå å krenke andres personvern, forstyrre systemene våre, ødelegge data og/eller skade brukeropplevelsen;
  • Bruk kun de offisielle kanalene til å diskutere sårbarhetsinformasjon med oss;
  • Gi oss rimelig tid til å løse problemet før du avslører det offentlig;
  • Utfør kun testing på systemer innenfor omfanget, og respekter systemer og aktiviteter som er utenfor omfanget;
  • Hvis en sårbarhet gir utilsiktet tilgang til data: Begrens mengden data du får tilgang til til minimum som kreves for å effektivt demonstrere et Proof of Concept; og slutte å teste og sende inn en rapport umiddelbart hvis du støter på brukerdata under testing, for eksempel personlig identifiserbar informasjon (PII), personlig helseinformasjon (PHI), kredittkortdata eller proprietær informasjon;
  • Du bør kun samhandle med testkontoer du eier eller med eksplisitt tillatelse fra kontoinnehaveren; og
  • Ikke utfør testing som resulterer i tjenestenektforhold eller forringelse av våre produksjonstjenester.
  • Ikke delta i utpressing.

Problemer vi bryr oss om

  • XSS som resulterer i tilgang til sensitive data (f.eks. øktinformasjon)
  • XSRF som resulterer i tilgang til sensitive data (f.eks. øktinformasjon)
  • Forretningslogikkfeil som resulterer i tilgang til sensitive data eller funksjonalitet

Problemer vi bryr oss mindre om

  • Mangel på X-Frame-Options-overskriften på sider uten tilstandsendringsfunksjonalitet som unloc.app
  • Problemer som neppe kan utnyttes og/eller som ikke har realistisk sikkerhetspåvirkning
  • API-tokens funnet i appene våre eller nettsider som anses som publiserbare, som klientsidens API-nøkler for tjenester som google maps osv.

Offisielle Kanaler

Vennligst rapporter sikkerhetsproblemer via security@unloc.app , og oppgi all relevant informasjon. Jo flere detaljer du oppgir, desto lettere blir det for oss å prøve og fikse problemet.

Trygg havn

Når vi utfører sårbarhetsundersøkelser, i henhold til denne policyen, anser vi denne forskningen utført under denne policyen for å være:

  • Autorisert angående gjeldende anti-hacking-lover, og vi vil ikke sette i gang eller støtte rettslige skritt mot deg for tilfeldige brudd i god tro på disse retningslinjene;
  • Autorisert angående eventuelle relevante lover mot omgåelse, og vi vil ikke fremme et krav mot deg for omgåelse av teknologikontroller;
  • Unntatt fra restriksjoner i våre vilkår for bruk (TOS) og/eller retningslinjer for akseptabel bruk (AUP) som vil forstyrre gjennomføring av sikkerhetsundersøkelser, og vi frafaller disse begrensningene på begrenset basis; og
  • Lovlig, nyttig for den generelle sikkerheten til Internett, og utført i god tro.

Du forventes, som alltid, å overholde alle gjeldende lover. Hvis en tredjepart initierer rettslige skritt mot deg og du har overholdt disse retningslinjene, vil vi iverksette tiltak for å gjøre det kjent at handlingene dine ble utført i samsvar med disse retningslinjene.

Hvis du på noe tidspunkt har bekymringer eller er usikker på om sikkerhetsforskningen din er i samsvar med disse retningslinjene, vennligst send inn en rapport via en av våre offisielle kanaler før du går videre.

Merk at Safe Harbor kun gjelder for juridiske krav under kontroll av organisasjonen som deltar i denne policyen, og at policyen ikke binder uavhengige tredjeparter.