こちらのポリシーをよくお読みください。報奨金の対象となるセキュリティ問題の種類について説明しています。なお、弊社の報告フォーム(このページの下部ボタンからアクセス可能)から提出されたレポートだけが、バグ報奨金の対象になります。
Doist では、バグ バウンティ プログラムはセキュリティへの取り組みの重要な要素となっています。もし、弊社が把握すべきセキュリティ問題を発見された場合は、ぜひご協力をお願いします。あなたの努力が報奨金の対象になる場合があります。
参加資格
- 報奨金の対象となるためには、その問題を最初に報告しなければなりません。
- お客様は、問題を再現して対処するために、弊社チームが必要とする追加情報を提供できるようにしておく必要があります。
本プログラムのルール
- HackerOne のディスクロージャー・ガイドラインに従います。
- 調査の一環として作成したテストデータやアカウントを削除します。
- エンドユーザーを攻撃したり、関与してはなりません。
- 認証情報を含む、盗まれたユーザー データに関与してはいけません。
- DoS 攻撃を含む自動スキャンやテストを行ってはいけません。
- フィッシングなどのソーシャルエンジニアリング攻撃をしてはいけません。
- Doist の従業員や彼らの機器に対して物理的なテストを行ってはいけません。
対象となるターゲット
- www.todoist.com
- app.todoist.com
- www.twist.com
- Windows、macOS、Linux、iOS、Android の Todoist および Twist の現行バージョン
- テスト目的では、todoistbounty@protonmail.comを被害アカウントとして使ってください。
レポートを提出する
- 再現可能な明確な手順、弊社製品/ユーザーへの影響、使用したテスト アカウント、テスト データを含む詳細なレポートを提供してください。
- 独立した脆弱性は、別々のチケットとして報告してください。
- レポートには、脆弱性を明確に説明する件名をつけてください。
- レポートには、脆弱性を再現するための説明文を記載する必要があります。再現のための明確な手順が不足しているレポートや、ビデオ PoC のみのレポートは、報奨金の対象にならないことがあります。
報酬
次のような場合、金銭的な報酬を受け取ることができます:- 製品の脆弱性を報告した最初の人である
- 報告された脆弱性が、弊社チームによって妥当なセキュリティ問題であると考えられる
- すべてのプログラム ルールを遵守している
すべての報奨金額は、弊社のチームが各レポートを評価し、報奨金額を決定するために深刻度レベルを割り当てます。深刻度レベルは、脆弱性の種類と潜在的な影響に基づいて社内で決定します。以下は、各深刻度レベルのサンプルの概要です:
- 200 以外の HTTPレスポンスコード、アプリケーションやサーバーのエラーなど、セキュリティとは関係のない問題。
- ログアウトによる CSRF、HTTP セキュリティ ヘッダーの欠落、SSL の問題、パスワード ポリシーの問題、センシティブな操作を伴わないページでのクリックジャッキングなど、セキュリティへの影響が明確でない問題
- 既に使用されていない、あるいは保守されていない、古いアプリケーションやコンポーネントに影響を与える問題
- 弊社が使用しているサードパーティのアプリケーションやサービス(Firebase、ZenDeskなど)など、サードパーティに影響を与える問題
- SPF および DKIM、DNSSEC の欠如など、スパムまたはソーシャル エンジニアリングの技術に関わる問題。
- サーバーの情報開示に関する問題、すなわち、`X-Powered-by` および `Server` レスポンス ヘッダー。公開された情報に、関連する CVE の公開を伴うサーバーのバージョンが含まれている場合は、例外が存在する可能性があります。
- 設計上アクティブなリクエストを実行するサービスにおけるサーバーサイドリクエストフォージェリ(SSRF)に関わる問題(機密情報が漏洩する可能性があることが証明されている場合を除く)。
- ユーザーの操作を必要とする可能性が極めて低いバグ。(例: SSOログインによるアカウントの乗っ取り)
- 対象者の端末への特権的なアクセスを必要とするレポート、またはその他の方法で当社の管理外となるレポート。これには、ユーザーになりすますためのブラウザのクッキーやその他のトークンへのアクセス、ユーザーの電子メールアドレスへのアクセスなどが含まれますが、これらに限定されません。
- 認証前のページで発生するクリックジャッキング問題や、X-Frame-Options の欠如など、漏洩につながらないクリックジャッキング問題。
- クロス オリジン リソース 共有(CORS) の問題: サーバーが `Access-Control-Allow-Credentials: true` ヘッダーを返さない。
- レート制限の欠如(脆弱性の漏洩につながる場合を除く)
- サインアップ、ログイン、パスワードを忘れた場合のページでのユーザーメールの一覧。
- 次のURLで利用可能なファイル(パス が `/.well-known` で開始するURL(別名:well-known URIs)。
- 2FA がパスワードのリセットをバイパスする
- クライアント アプリ固有の問題
- 暗号化が施されず保存されたユーザーデータ
- 難読化の欠如
- 実行中のコードやその環境を操作するランタイムハッキングの悪用
- オープンリダイレクト
- サーバーの設定ミスやプロビジョニングエラー
- ユーザーの機密情報を除く情報の漏洩や開示
- クロス オリジン リソース 共有(CORS) の問題: サーバーが `Access-Control-Allow-Credentials: true` ヘッダーをリクエストに返す(サード パーティー `Origin`ヘッダーを付けて(つまり `*.todoist.com`、`*.twist.com`ではない)。
- 反射型 XSS
- 混在コンテンツの問題、ターゲット URL が「Strict-Transport-Security」 (別名 HSTS) ヘッダーで返さない場合。リスクは存在するが、ドメン/サブドメインごとのシングル インタラクションに限られる場合( HSTS 値によって異なる)。2021年には、この問題を軽減するため、ブラウザは、デフォルトで HTTPS に移行しています。
- その他の深刻度の低い問題
- CSRF / XSRF
- 内部サービスへの SSRF
- 格納型 XSS
- その他の深刻度が中程度の問題
- ユーザーの機密情報を含む情報の漏洩や開示
- その他の深刻度の高い問題
- SQL インジェクション
- リモートコードの実行
- 権限昇格攻撃
- 認証の不備
- 内部サービスに対する SSRF で重大なセキュリティリスクが発生している
- その他の深刻度が重大な問題
| アプリ | なし | 低 | 中 | 高 | 重大 |
|---|---|---|---|---|---|
| Todoist | $0 | $100 | $200 | $500 | $1000 |
| Twist | $0 | $50 | $100 | $250 | $500 |
弊社の Android モバイル アプリの脆弱性は、Google Play Security Rewards Program による追加報奨金の対象となる場合があります。
すべての報奨金は、PayPal でお支払いいたします。
提出された脆弱性が適格であるかどうかの判断および権限は、Doist のチームが担います。
Doist バグ バウンティ チームによる報酬金の金額に関するすべての決定は最終的なものです。