Lue käytäntömme huolellisesti, sillä se selventää, minkä tyyppisistä tietoturvaongelmista voimme palkita. Vain yhteydenottolomakkeellamme lähetetyt raportit (pääset tämän sivun alareunassa olevasta painikkeesta) otetaan huomioon palkkion saamiseksi.
Doistissa Haavoittuvuuspalkinto-ohjelmamme on kriittinen osa turvallisuustoimiamme. Jos olet löytänyt tietoturvaongelman, josta meidän pitäisi mielestämme tietää, haluaisimme tehdä yhteistyötä kanssasi. Ponnistelusi voivat johtaa rahalliseen palkkioon.
Kelpoisuus
- Sinun on ilmoitettava ongelmasta ensimmäisenä, jotta voit saada palkkion.
- Sinun on oltava käytettävissä toimittamaan lisätietoja, joita tiimimme tarvitsee ongelman toistamiseksi ja ratkaisemiseksi.
Ohjelman säännöt
- Noudata HackerOnen julkistamisohjeita.
- Poista kaikki tutkimuksen yhteydessä luomasi testitiedot tai tilit.
- Älä hyökkää tai ole vuorovaikutuksessa loppukäyttäjien kanssa.
- Älä käsittele varastettuja käyttäjätietoja, mukaan lukien kirjautumistiedot.
- Älä käytä automaattisia tarkistuksia tai testauksia, mukaan lukien DoS-hyökkäyksiä.
- Älä käytä sosiaalisen suunnittelun hyökkäyksiä, kuten tietojenkalastelua.
- Älä testaa Doist-työntekijöitä tai heidän laitteitaan fyysisesti.
Sallitut kohteet
- www.todoist.com
- www.twist.com
- Todoistin ja Twistin nykyiset versiot Windowsille, macOS:lle, Linuxille, iOS:lle ja Androidille
- Käytä testaustarkoituksiin uhritilinä todoistbounty@protonmail.com.
Raportin läheittäminen
- Anna yksityiskohtainen raportti, joka sisältää selkeästi toistettavat vaiheet, vaikutuksen tuotteisiimme ja/tai käyttäjiimme sekä kaikki mahdollisesti käyttämäsi testitilit sekä testitiedot.
- Muista ilmoittaa itsenäisistä haavoittuvuuksista erikseen.
- Varmista, että annat raportille selkeän otsikon, joka kuvaa haavoittuvuutta.
- Raportissasi on oltava kirjalliset ohjeet haavoittuvuuden toistamiseen. Kaikki raportit, joissa ei ole selkeitä vaiheita tai jotka sisältävät vain videon konseptitestinä, voidaan evätä.
Palkinnot
Saatat olla oikeutettu saamaan rahapalkkion, jos:- Olet ensimmäinen henkilö, joka ilmoittaa tuotteen haavoittuvuuden
- Tiimimme pitää haavoittuvuutta kelvollisena tietoturvaongelmana
- Olet noudattanut kaikkia ohjelmasääntöjä
Kaikkien palkkiosummien osalta tiimimme arvioi jokaisen raportin ja antaa vakavuusasteen, joka määrittää rahallisen palkkion määrän. Alla on esimerkkejä kustakin vakavuusasteesta:
- Turvallisuuteen liittymättömät ongelmat, kuten muut kuin 200 HTTP-vastauskoodit, sovellus- tai palvelinvirheet jne.
- Ongelmat, joilla ei ole selkeää turvallisuusvaikutusta, kuten uloskirjautumisesta johtuva CSRF, puuttuvat HTTP-suojausotsikot, SSL-ongelmat, salasanakäytäntöongelmat tai clickjacking-hyökkäykset sivuille, joissa ei ole arkaluontoisia toimintoja
- Vanhentuneita sovelluksia tai komponentteja koskevat ongelmat, joita ei enää käytetä tai ylläpidetä
- Kolmansiin osapuoliin, kuten kolmansien osapuolien sovelluksiin tai käyttämiimme palveluihin (esim. Firebase, ZenDesk) vaikuttavat ongelmat
- Roskaposti- tai Sosiaalisen suunnittelun -tekniikoihin liittyvät ongelmat, kuten SPF ja DKIM, sekä DNSSEC:n puute.
- Palvelimen paljastamistietoihin liittyvät ongelmat, erityisesti `X-Powered-by` - ja `Server` -vastausotsikot. Poikkeuksia voi esiintyä aina, kun julkistetut tiedot sisältävät palvelinversion, johon liittyy CVE-paljastus.
- Ongelmat, jotka liittyvät palvelinpuolen pyyntöjen väärentämiseen (SSRF) palveluissa, jotka suorittavat aktiivisia pyyntöjä suunnitellusti, ellei ole todistettu, että arkaluonteisia tietoja voi vuotaa.
- Virheet, jotka edellyttävät erittäin epätodennäköistä käyttäjän vuorovaikutusta. (esim. tilin haltuunotto kirjautumisen kautta)
- Raportit, jotka edellyttävät etuoikeutettua pääsyä kohteen laitteisiin tai jotka ovat muuten meidän hallinnassamme. Näitä ovat muun muassa pääsy selaimen evästeisiin ja/tai muihin tunnuksiin, joita käytetään käyttäjän matkimiseen, pääsy käyttäjän sähköpostiosoitteeseen jne.
- Clickjacking-ongelmat, jotka esiintyvät esitodennetuilla sivuilla, `X-Frame-Options`-vaihtoehtojen puuttuminen tai muut clickjacking-ongelmat, joita ei voida hyödyntää.
- Cross-OriginResourceSharing (CORS) -ongelmat, joissa palvelin EI vastaa "Access-Control-Allow-Credentials: true" -otsikolla.
- Puuttuvat nopeusrajoitukset, ellei se voi johtaa hyödynnettävissä olevaan haavoittuvuuteen.
- Käyttäjän sähköpostiosoitteiden luettelo rekisteröinti-, kirjautumis- ja unohtunut salasana -sivuilla.
- Tiedostot ovat saatavilla URI-osoitteissa, joiden polku alkaa "/.well-known" (tunnetaan myös nimellä well-known URIs).
- 2FA:n ohitus salasanan palautuksen kautta
- Asiakassovelluskohtaiset ongelmat
- Käyttäjätiedot on tallennettu salaamattomina
- Hämärtymisen puute
- Suorituksen aikaisen hakkeroinnin väärinkäyttö, joihin liittyy käynnissä olevan koodin tai sen ympäristön manipulointi
- Avoimet uudelleenohjaukset
- Palvelimen virheelliset määritys- tai valmisteluvirheet
- Muiden kuin käyttäjän luottamuksellisten tietojen vuoto tai paljastaminen
- Cross-OriginResourceSharing (CORS) -ongelmat, joissa palvelin vastaa "Access-Control-Allow-Credentials: true" -otsikolla pyyntöön, jossa on kolmannen osapuolen "Origin"-otsikko (eli ei "*.todoist.com", "*.twist". com`).
- Heijastettu XSS
- Sekalaista sisältöä koskevat ongelmat, jos kohde-URL-osoite ei vastaa 'Strict-Transport-Security' (eli HSTS) -otsikolla. Riski on edelleen olemassa, mutta rajoittuu yhteen vuorovaikutukseen verkkotunnusta/aliverkkotunnusta kohden (riippuen HSTS-arvosta). Vuonna 2021 selaimet ovat siirtyneet HTTPS-oletusasetuksiin, mikä lieventää tätä ongelmaa entisestään.
- Muut matalat turvallisuusriskin ongelmat
- CSRF / XSRF
- SSRF sisäiseen palveluun
- Tallennettu XSS
- Muut keskitason turvallisuusriskin ongelmat
- Tietovuodot tai paljastaminen, mukaan lukien arkaluonteiset käyttäjätiedot
- Muut vakavat turvallisuusriskin ongelmat
- SQL-injektio
- Koodin etäsuoritus
- Etuoikeuksien lisääntyminen
- Rikkinäinen todennus
- SSRF sisäiseen palveluun, mikä aiheuttaa kriittisen turvallisuusriskin
- Muut kriittisen turvallisuusriskin ongelmat
| Sovellus | Ei mitään | Matala | Keskisuuri | Korkea | Kriittinen |
|---|---|---|---|---|---|
| Todoist | 0 $ | 100 $ | 200 $ | 500 $ | 1000 $ |
| Twist | 0 $ | 50 $ | 100 $ | 250 $ | 500 $ |
Android-mobiilisovelluksemme haavoittuvuudet voivat saada ylimääräisen palkkion Google Play Security Rewards -ohjelman kautta.
Kaikki palkkiot maksetaan PayPalin kautta.
Doist's-tiimillä on oikeus päättää, onko toimitettu haavoittuvuus kelvollinen.
Kaikki Doist Haavoittuvuuspalkinto-tiimin päätökset korvauksen suuruudesta ovat lopullisia.