Læs venligst vores politik grundigt, da den tydeliggør, hvilke typer af sikkerhedsproblemer vi vil kunne belønne. Kun rapporter indsendt via vores kontaktformular (tilgængelig via knappen nederst på denne side) vil blive taget i betragtning til en dusørbelønning.
Hos Doist er vores fejldusør-program en vital komponent i vores sikkerhedsindsats. Hvis du har fundet et sikkerhedsproblem, som du mener, vi burde kende til, vil vi meget gerne arbejde sammen med dig. Din indsats kan være berettiget til en monetær belønning.
Berettigelse
- Du skal være den første til at rapportere problemet for at være berettiget til en belønning.
- Du skal være til rådighed til at levere yderligere oplysninger, hvis vores team har brug for dette til at genskabe og løse problemet.
Regler for programmet
- Følg HackerOnes retningslinjer for oplysninger.
- Slet eventuelle testdata eller konti, du har oprettet som en del af din research.
- Du må ikke angribe eller interagere med slutbrugere.
- Du må ikke beskæftige dig med stjålne brugerdata, herunder legitimationsoplysninger.
- Brug ikke automatiske scanninger eller tests, inklusive DoS-angreb.
- Brug ikke social engineering-angreb, såsom phishing.
- Deltag ikke i fysiske tests af Doist-medarbejdere eller deres udstyr.
Kvalificerede mål
- www.todoist.com
- www.twist.com
- Aktuelle versioner af Todoist og Twist til Windows, macOS, Linux, iOS og Android
- Til testformål bedes du bruge todoistbounty@protonmail.com som offerkonto.
Indsendelse af din rapport
- Giv en detaljeret rapport inklusive klart reproducerbare trin, indvirkningen på vores produkter og/eller vores brugere og eventuelle testkonti, du måtte have brugt sammen med testdata.
- Sørg for at rapportere uafhængige sårbarheder i separate sager.
- Sørg for at give din rapport en tydelig titel, der beskriver sårbarheden.
- Din indsendelse skal indeholde skriftlige instruktioner til at gengive sårbarheden. Enhver rapport uden klare reproduktionstrin, eller som kun inkluderer en video-PoC, er muligvis ikke berettiget til en belønning.
Belønninger
Du kan være berettiget til en monetær belønning, hvis:- Du er den første person, der rapporterer en produktsårbarhed
- Sårbarheden betragtes som et gyldigt sikkerhedsproblem af vores team
- Du har overholdt alle programmets regler
Alle dusørbeløb bestemmes af vores team, der vurderer hver rapport og tildeler en alvorlighedsgrad, der bestemmer størrelsen af den monetære belønning, der skal modtages. Sværhedsgraden bestemmes internt ud fra typen af sårbarhed og potentiel indvirkning. Nedenfor kan du finde en oversigt over eksempler på hver alvorlighedsgrad:
- Problemer, der ikke relaterer til sikkerhed, såsom HTTP-statuskoder andre end 200, applikations- eller serverfejl osv.
- Problemer uden en klar sikkerhedspåvirkning, såsom logget ud CSRF, manglende HTTP-sikkerhedsoverskrifter, SSL-problemer, problemer med adgangskodepolitik eller clickjacking på sider uden følsomme handlinger.
- Problemer, der påvirker forældede applikationer eller komponenter, der ikke længere er i brug eller vedligeholdes
- Problemer, der påvirker tredjeparter, såsom tredjepartsapps eller -tjenester, vi anvender (fx Firebase, ZenDesk)
- Problemer, der involverer spam eller Social Engineering-teknikker, såsom SPF og DKIM, og mangel på DNSSEC.
- Problemer, der involverer lækager af serveroplysninger, nemlig `X-Powered-by` og `Server` response headers. Undtagelser kan forekomme, når videregivne oplysninger indeholder en serverversion med en tilknyttet CVE erklæring.
- Problemer, der involverer server-side request forgery (SSRF) på tjenester, der med vilje udfører aktive anmodninger, medmindre det er bevist, at følsomme oplysninger kan lækkes.
- Fejl, der kræver meget usandsynlig brugerinteraktion. (fx kontoovertagelse via SSO-login)
- Rapporter, der kræver privilegeret adgang til målets enheder, eller som ellers er uden for vores kontrol. Disse inkluderer, men er ikke begrænset til: adgang til browser-cookies og/eller andre tokens, der bruges til at efterligne brugeren, adgang til brugerens e-mailadresse osv.
- Clickjacking-problemer, der opstår på præ-godkendte sider, eller manglen på `X-Frame-Options` eller andre clickjacking-problemer, der ikke kan udnyttes.
- Cross-OriginResourceSharing (CORS) problemer, hvor serveren IKKE svarer med en `Access-Control-Allow-Credentials: true` header.
- Manglende hastighedsgrænser, medmindre det kan føre til en udnyttelig sårbarhed.
- Sider om opremsning af bruger-e-mail ved tilmelding, log ind og glemt adgangskode.
- Filer tilgængelige i URI'er med en sti, der starter med `/.well-known` (også kendt som velkendte URI'er).
- 2FA bypass gennem nulstilling af adgangskode
- Specifikt for klientapps
- Brugerdata, der lagres ukrypteret
- Mangel på maskering
- Udnyttelse af Runtime hacking, der involverer manipulation af kørende kode eller dens miljø
- Åbne omdirigeringer
- Serverfejlkonfiguration eller klargøringsfejl
- Informationslækager eller videregivelse af informationer, eksklusive følsomme brugerdata
- Cross-OriginResourceSharing (CORS) problemer, hvor serveren svarer med en `Access-Control-Allow-Credentials: true` header på en anmodning med tredjeparts `Origin` header (dvs. ikke `*.todoist.com`, `*.twist. com`).
- Reflekteret XSS
- Problemer med blandet indhold, hvis destinations-URL'en ikke svarer med en 'Strict-Transport-Security' (også kendt som HSTS) header. Risikoen eksisterer stadig, men er begrænset til en enkelt interaktion pr. domæne/underdomæne (afhængig af HSTS-værdi). I 2021 er browsere gået over til en HTTPS-standard, hvilket yderligere afbøder dette problem.
- Andre problemer med lav alvorlighedsgrad
- CSRF / XSRF
- SSRF til en intern tjeneste
- Lagret XSS
- Andre problemer med medium alvorlighedsgrad
- Informationslækager eller videregivelse af informationer, inklusive følsomme brugerdata
- Andre problemer med høj alvorlighedsgrad
- SQL-injektion
- Fjernkørsel af kode
- Privilegeret eskalering
- Broken authentication
- SSRF til en intern tjeneste, hvilket resulterer i kritisk sikkerhedsrisiko
- Andre problemer med kritisk alvorlighedsgrad
| App | Ingen | Lav | Middel | Høj | Kritisk |
|---|---|---|---|---|---|
| Todoist | $0 | $100 | $200 | $500 | $1000 |
| Twist | $0 | $50 | $100 | $250 | $500 |
Sårbarheder i dine Android-mobilapps kan kvalificere sig til en ekstra belønning via Google Play Security Rewards-programmet.
Alle belønninger udbetales via PayPal.
Doists team forbeholder sig retten til at afgøre, om den indsendte sårbarhed er berettiget til en belønning.
Alle beslutninger om størrelsen på en belønning foretaget af Doists fejldusør-team er endegyldige.