Veuillez lire attentivement notre politique, car elle clarifie le type de problèmes de sécurité que nous pourrons récompenser. Seuls les rapports soumis via notre formulaire de contact (accessible par le bouton en bas de cette page) seront pris en compte pour obtenir une prime.
Le programme de prime de découverte de bugs de Doist constitue un élément clé de nos efforts en matière de sécurité. Si vous découvrez un problème de sécurité que nous devrions connaître, nous serions ravis de travailler avec vous. Vos efforts peuvent vous donner droit à une prime.
Éligibilité
- Vous devez être la première personne à signaler ce problème pour être éligible à une prime.
- Vous devez être en mesure de fournir des informations supplémentaires requises par notre équipe pour reproduire et corriger le problème.
Règles du programme
- Suivez les directives de divulgation de HackerOne.
- Supprimez les données ou les comptes de test que vous avez créés dans le cadre de votre recherche.
- N'attaquez pas et n'interagissez pas avec les utilisateurs finaux.
- N'utilisez pas les données utilisateurs volées, y compris les informations de connexion.
- N'utilisez pas de scanners ou de tests automatiques, y compris des attaques DoS.
- N'utilisez pas d'attaques d'ingénierie sociale, comme le hameçonnage/phishing.
- Ne testez pas physiquement les employés de Doist ou leurs équipements.
Cibles éligibles
- www.todoist.com
- app.todoist.com
- www.twist.com
- Les versions actuelles de Todoist et de Twist pour Windows, macOS, Linux, iOS et Android
- À des fins de test, veuillez utiliser todoistbounty@protonmail.com comme compte victime.
Soumission de votre rapport
- Fournissez un rapport précis détaillant des étapes reproductibles claires, leur impact sur nos produits et/ou nos utilisateurs, et les éventuels comptes de test que vous avez utilisés ainsi que les données des tests.
- Signalez les vulnérabilités indépendantes dans un ticket distinct.
- Donnez un titre clair à votre rapport décrivant la vulnérabilité.
- Votre message doit inclure des instructions écrites pour reproduire la vulnérabilité. Un rapport sans étapes de reproduction claires ou qui ne comprend qu'une vidéo de démonstration peut être inéligible à une prime.
Primes
Vous pouvez être éligible à une prime si :- Vous êtes la première personne à soumettre une vulnérabilité sur nos produits
- La vulnérabilité est considérée comme un problème de sécurité valide par notre équipe
- Vous avez respecté les règles du programmes
Le montant des primes de découverte sera déterminé par notre équipe, qui évaluera chaque rapport et attribuera un niveau de gravité déterminant le montant de la prime reçue. Les niveaux de gravité sont décidés en interne sur la base du type de vulnérabilité et de leur impact potentiel. Vous trouverez ci-dessous quelques exemples pour chaque niveau de gravité :
- Problèmes non liés à la sécurité, par exemple si notre serveur ne retourne pas un code HTTP 200, les erreurs d'application ou de notre serveur, etc.
- Problèmes sans impact clair sur la sécurité, tels que déconnexion de CSRF, en-têtes de sécurité HTTP manquants, problèmes SSL, problèmes avec la politique de mots de passe ou détournement de clic sur des pages sans impact important
- Problèmes affectant des applications ou des composants obsolètes, qui ne sont plus utilisés ou maintenus
- Problèmes affectant des tiers, tels que les applications ou services tiers que nous utilisons (par exemple, Firebase, ZenDesk)
- Les problèmes liés aux techniques de spam ou d'ingénierie sociale, comme SPF et DKIM, et l'absence de DNSSEC.
- Problèmes impliquant des informations de divulgation de serveur, à savoir "X-Powered-by" et en-têtes de réponse du "Serveur". Des exceptions peuvent exister chaque fois que les informations divulguées contiennent une version de serveur avec une divulgation CVE associée.
- Les problèmes impliquant la falsification des demandes côté serveur (SSRF) sur les services qui effectuent des demandes actives, à moins qu'il ne soit prouvé que des informations sensibles peuvent être divulguées.
- Bugs nécessitant des actions hautement improbable de l'utilisateur (ex. : prise de contrôle de compte via une connexion SSO).
- Les rapports qui nécessitent un accès privilégié aux appareils cibles ou qui sont sinon hors de notre contrôle. Cela inclut, sans s'y limiter : accès aux cookies du navigateur et/ou aux autres jetons utilisés pour imiter l'utilisateur, accès à l'adresse e-mail de l'utilisateur, etc.
- Problèmes de détournement de clic qui se produisent sur des pages pré-authentifiées, ou l'absence d'options X-Frame, ou tout autre problème de détournement de clic non exploitable.
- Problèmes de Cross-OriginResourceSharing (CORS), lorsque le serveur ne répond PAS avec l'en-tête "Access-Control-Allow-Credentials : true".
- Les "missing rate limits", sauf si cela peut conduire à une vulnérabilité exploitable.
- Énumération de l'e-mail de l'utilisateur sur les pages d'inscription, de connexion et d'oubli de mot de passe.
- Fichiers disponibles sur des URI dont le chemin commence par `/.well-known` (aussi appelés well-known URI).
- Contournement de l'A2F par la réinitialisation du mot de passe
- Spécifique aux applications clients
- Données utilisateurs stockées sans chiffrage
- Manque d'opacification
- Exploits de piratage d'exécution qui impliquent la manipulation du code en cours d'exécution ou de son environnement
- Redirections ouvertes
- Erreur de configuration du serveur ou erreurs d'approvisionnement
- Fuites ou divulgation d'informations, à l'exclusion des données utilisateurs sensibles
- Problèmes de Cross-OriginResourceSharing (CORS), lorsque le serveur répond avec l'en-tête "Access-Control-Allow-Credentials : true" à une requête avec l'en-tête "Origin" d'un tiers (c'est-à-dire pas "*.todoist.com", "*.twist.com").
- XSS réfléchi
- Les problèmes de contenu mixtes, si l'URL cible ne répond pas avec un en-tête 'Strict-Transport-Security' (c.-à-d. HSTS). Le risque existe toujours mais est limité à une seule interaction par domaine/sous-domaine (en fonction de la valeur HSTS). En 2021, les navigateurs sont passés à une valeur HTTPS par défaut, atténuant davantage ce problème.
- Autres problèmes de faible gravité
- CSRF / XSRF
- SSRF vers un service interne
- XSS stocké
- Autres problèmes de moyenne gravité
- Fuites ou divulgation d'informations comprenant des données utilisateurs sensibles
- Autres problèmes de gravité élevée
- Injection SQL
- Exécution de code à distance
- Escalade des privilèges
- Authentification cassée
- SSRF vers un service interne, provoquant un risque de sécurité critique
- Autres problèmes critiques
Application | Aucun(e) | Faible | Moyen | Élevé | Critique |
---|---|---|---|---|---|
Todoist | 0 $ | 100 $ | 200 $ | 500 $ | 1000 $ |
Twist | 0 $ | 50 $ | 100 $ | 250 $ | 500 $ |
Les vulnérabilités sur nos applications mobiles Android peuvent donner droit à une prime supplémentaire via le programme des primes de sécurité de Google Play.
Toutes les primes sont payées via PayPal.
L'équipe de Doist se réserve le droit de déterminer l'égibilité des vulnérabilité soumises.
Le montant déterminé par l'équipe de Doist pour la prime de découverte d'un bug est final.