Denne Responsible Disclosure Policy er en udvidelse af vores Servicevilkår.

Bouncer Sp. z.o.o (LTD) (“vi”, “os” eller “vores”) er forpligtet til at sikre vores kunders og medarbejderes sikkerhed og tryghed.

Vi ønsker at skabe et miljø præget af tillid og et åbent partnerskab med sikkerhedsmiljøet, og vi anerkender vigtigheden af at afsløre sårbarheder og whistleblowere for fortsat at sikre tryghed og sikkerhed for alle vores kunder, medarbejdere og virksomhed.

Vi har udviklet denne politik for både at afspejle vores virksomhedsværdier og for at opretholde vores juridiske ansvar over for sikkerhedsforskere i god tro, som stiller deres ekspertise til rådighed for os, og over for whistleblowere, som tilføjer et ekstra lag af sikkerhed til vores infrastruktur.

Sådan sender du en sårbarhed

For at indsende en sårbarhedsrapport til Bouncers produktsikkerhedsteam skal du bruge følgende e-mail [email protected].

Præference, prioritering og acceptkriterier

Vi vil bruge følgende kriterier til at prioritere og sortere indsendelser.

Hvad vi gerne vil se fra dig:

• Velskrevne rapporter på engelsk vil have større sandsynlighed for at blive løst.
• Rapporter, der indeholder proof-of-concept-kode, gør os bedre i stand til at triagere.
• Rapporter, der kun indeholder crash-dumps eller andet output fra automatiserede værktøjer, kan få lavere prioritet.
• Rapporter, der omfatter produkter, som ikke er på den oprindelige liste, kan få lavere prioritet.
• Angiv venligst, hvordan du fandt fejlen, konsekvenserne og eventuelle afhjælpninger.
• Angiv venligst eventuelle planer eller intentioner om offentliggørelse.
• Husk også, at det er uprofessionelt at markere alle rapporter som [Critical Urgent] uanset konsekvensen, og det får os til at behandle dine rapporter mindre seriøst.

Hvad du kan forvente af Bouncer:

• Et rettidigt svar på din e-mail (inden for 5 arbejdsdage).
• Efter triage sender vi en forventet tidslinje og forpligter os til at være så gennemsigtige som muligt med hensyn til tidslinjen for afhjælpning samt problemer eller udfordringer, der kan forlænge den.
• En åben dialog for at diskutere problemer.
• Meddelelse, når sårbarhedsanalysen har afsluttet hvert trin i vores gennemgang.
• Kredit efter at sårbarheden er blevet valideret og rettet.

Hvis vi ikke er i stand til at løse kommunikationsproblemer eller andre problemer, kan Bouncer inddrage en neutral tredjepart til at hjælpe med at afgøre, hvordan vi bedst håndterer sårbarheden.

Hvilke emner anses for at være uden for rækkevidde:

• Sikkerhedspraksis, hvor der findes andre afhjælpende kontroller, f.eks. manglende sikkerhedsoverskrifter osv.
• Social engineering, phishing
• Fysiske angreb
• Overtagelse af underdomæne
• Clickjacking
• Selv XSS
• E-mail-spoofing – Fejlkonfigurationer af e-mail-godkendelse
• Manglende cookie-flag
• CSRF med minimal påvirkning, f.eks. login-CSRF, logout-CSRF osv.
• Spoofing af indhold
• Stakspor, offentliggørelse af stier, kataloger
• SSL/TLS-kontroller, hvor der findes andre afhjælpende kontroller
• Banner-grabbing
• CSV-indsprøjtning
• Download af reflekteret fil
• Rapporter om forældede browsere
• Rapporter om forældede versioner/bygninger af mobile apps inden for anvendelsesområdet
• DOS/DDOS
• Host header-injektion uden påviselig effekt
• Scanner-udgange
• Sårbarheder i tredjepartsprodukter
• Opregning af brugere
• Passwordets kompleksitet
• HTTP-sporingsmetode

Belønninger

Vores belønninger er baseret på, hvor alvorlig en sårbarhed er.
Vi vil hellere end gerne kompensere dig for dit bidrag, hvis du rapporterer en sårbarhed, som vi endnu ikke kendte til. Desuden vil flere sårbarheder forårsaget af samme årsag kun blive belønnet én gang.
Bemærk, at beslutninger om belønning er op til vores eget skøn. Problemer kan få en lavere sværhedsgrad på grund af kompenserende kontroller og kontekst.
Endelig skal du huske på, at vi kun kan udbetale en belønning (via PayPal eller bankoverførsel), hvis du er i stand til at udstede en gyldig faktura til os.

Belønninger og sværhedsgrad:

• Kritisk – $1000+
  Sårbarheder, der forårsager en eskalering af privilegier på platformen fra uprivilegeret til administrator, tillader fjernudførelse af kode, økonomisk tyveri, uautoriseret adgang til/udtrækning af følsomme data osv.
• Høj – $500
  Sårbarheder, der påvirker platformens sikkerhed, herunder de processer, den understøtter.
• Medium – $100
  Sårbarheder, der påvirker flere brugere, og som kræver lidt eller ingen brugerinteraktion for at blive udløst
• Lav – $50
  Problemer, der påvirker enkelte brugere og kræver interaktion eller betydelige forudsætninger (MitM) for at blive udløst. 

Kontakt os

Hvis du har yderligere spørgsmål eller kommentarer om os eller vores politikker, kan du sende os en e-mail på [email protected] eller kontakte os pr. post på:

Bouncer Sp. z o.o. (LTD)
ul. Cypriana Kamila Norwida 24/1
50-374 Wrocław
Polen