Lees alsjeblieft ons beleid grondig aangezien het duidelijk maakt welke types beveiligingsproblemen we kunnen belonen. Alleen rapporten die via ons contactformulier (toegankelijk via de knop onderaan deze pagina) ingediend worden, worden overwogen voor een bounty-beloning.
Bij Doist is ons bug bounty-programma een essentieel onderdeel van onze inspanningen rond beveiliging. Als je een beveiligingsprobleem hebt gevonden waarvan je vindt dat we het zouden moeten weten, dan werken we graag met je samen. Je inspanningen kunnen in aanmerking komen voor een financiële beloning.
Voorwaarden
- Je moet de eerste zijn om het probleem te rapporteren om in aanmerking te komen voor een bounty.
- Je moet beschikbaar zijn om aanvullende informatie te verstrekken, wanneer nodig voor ons team, om het probleem te reproduceren en aan te pakken.
Regels van het programma
- Volg de disclosure guidelines van HackerOne.
- Verwijder alle testgegevens of -accounts die je aangemaakt hebt als onderdeel van het onderzoek.
- Val geen eindgebruikers aan en interacteer niet met ze.
- Ga niet aan de slag met gestolen gebruikersgegevens, waaronder toegangsgegevens.
- Gebruik geen automatische scans of tests, met inbegrip van DoS-aanvallen.
- Gebruik geen social engineering-aanvallen, zoals phishing.
- Ga niet aan de slag met fysieke testing bij Doist-werknemers of hun apparatuur.
Doelen die in aanmerking komen
- www.todoist.com
- www.twist.com
- Huidige versies van Todoist en Twist voor Windows, macOS, Linux, iOS en Android
- Voor testdoeleinden kan je todoistbounty@protonmail.com als het slachtofferaccount gebruiken.
Indienen van je rapport
- Zorg voor een gedetailleerd rapport met duidelijk reproduceerbare stappen, de impact op onze producten en/of onze gebruikers, en eventuele testaccounts die je met testgegevens hebt gebruikt.
- Zorg ervoor dat je onafhankelijke kwetsbaarheden in aparte tickets rapporteert.
- Zorg ervoor dat je rapport een duidelijke titel heeft die de kwetsbaarheid beschrijft.
- Je indiening moet geschreven instructies bevatten om de kwetsbaarheid te reproduceren. Een rapport zonder duidelijke stappen tot reproductie of dat slechts een video-PoC bevat, komt mogelijk niet in aanmerking voor een beloning.
Beloningen
Je kan in aanmerking komen voor een financiële beloning als:- Je de eerste persoon bent om een kwetsbaarheid in een product te melden
- De kwetsbaarheid door ons team wordt beschouwd als een geldig beveiligingsprobleem
- Je alle regels van het programma hebt gevolgd
Alle bountybedragen worden door ons team bepaald. Elk rapport wordt beoordeeld en een severity level dat het bedrag van de financiële beloning bepaalt wordt toegekend. De severity levels worden intern beslist, gebaseerd op het type van kwetsbaarheid en potentiële impact. Hieronder vind je een overzicht van voorbeelden voor elk severity level:
- Problemen die niet gerelateerd zijn aan beveiliging, zoals non-200 HTTP response codes, application of server errors, etc.
- Problemen zonder een duidelijke impact op beveiliging, zoals logged-out CSRF, missende HTTP security headers, SSL issues, problemen met wachtwoordbeleid, of clickjacking op pagina's zonder gevoelige acties
- Problemen met betrekking tot verouderde applicaties of onderdelen die niet langer worden gebruikt of onderhouden worden
- Problemen met betrekking tot derde partijen, zoals third-party apps of services die we gebruiken (e.g. Firebase, ZenDesk)
- Problemen met spam- of social engineering-technieken, zoals SPF en DKIM, en gebrek aan DNSSEC.
- Problemen met onthulling van serverinformatie, namelijk `X-Powered-by`- en `Server`-response headers. Uitzonderingen kunnen bestaan wanneer onthulde informatie een serverversie bevat met een bijbehorende CVE-onthulling.
- Problemen met server-side request forgery (SSRF) op diensten die zoals ontworpen active requests uitvoeren, tenzij er wordt aangetoond dat gevoelige informatie kan worden gelekt.
- Bugs die uiterst onwaarschijnlijke gebruikersinteractie vereisten (bijvoorbeeld accountovername via SSO-login)
- Rapporten die bijzondere toegang tot de toestellen van het doelwit vereisen of die anderszins buiten onze controle vallen. Deze bevatten, maar zijn niet beperkt tot: toegang tot browsercookies en/of andere tokens die gebruikt worden om zich voor te doen als de gebruiker, toegang tot het e-mailadres van de gebruiker, etc.
- Clickjacking issues die zich op pre-authenticated pagina's voordoen, of het gebrek aan `X-Frame-Options`, of enige andere niet-exploiteerbare clickjacking issues.
- Cross-OriginResourceSharing (CORS)-issues, waar de server NIET antwoordt met een `Access-Control-Allow-Credentials: true`-header.
- Ontbrekende rate limits, tenzij het kan leiden tot een kwetsbaarheid die uitgebuit kan worden.
- Enumeratie van e-mails van gebruikers op de pagina's voor het registreren, het inloggen of het vergeten van je wachtwoord.
- Bestanden beschikbaar in URIs met een pad die start met `/.well-known` (ook gekend als well-known URIs).
- 2FA-bypass door het resetten van het wachtwoord
- Specifiek voor client apps
- Gebruikersgegevens die niet versleuteld zijn opgeslagen
- Gebrek aan verhulling
- Runtime hacking exploits waarbij running code of de omgeving daarvan wordt gemanipuleerd
- Open redirections
- Server misconfiguration of provisioning errors
- Informatielekken of openbaarmakingen zonder gevoelige gebruikersdata
- Cross-OriginResourceSharing (CORS)-issues, waar de server antwoordt met een `Access-Control-Allow-Credentials: true`-header op een request met een 3rd-party `Origin`-header (dus niet `*.todoist.com`, `*.twist.com`).
- Reflected XSS
- Mixed content-issues, als de target-URL niet antwoordt met een 'Strict-Transport-Security' (ook wel HSTS) header. Het risico bestaat nog steeds, maar is beperkt tot één enkele interactie per domein/subdomein (afhankelijk van HSTS-waarde). In 2021 zijn browsers aan het overstappen naar een HTTPS-standaard, waardoor dit probleem beperkt wordt.
- Andere problemen met een lage severity
- CSRF / XSRF
- SSRF naar een interne service
- Stored XSS
- Andere problemen met een medium severity
- Informatielekken of openbaarmakingen met gevoelige gebruikersdata
- Andere problemen met een hoge severity
- SQL-injectie
- Remote code execution
- Privilege escalation
- Broken authentication
- SSRF naar een interne service, met als resultaat een kritiek beveiligingsprobleem
- Andere kritieke problemen
| App | Geen | Laag | Medium | Hoog | Kritiek |
|---|---|---|---|---|---|
| Todoist | $0 | $100 | $200 | $500 | $1000 |
| Twist | $0 | $50 | $100 | $250 | $500 |
Kwetsbaarheden op onze Android mobiele app(s) kunnen in aanmerking komen voor een extra bounty via het Google Play Security Rewards Program.
Alle beloningen worden via PayPal uitbetaald.
Het team van Doist behoudt het recht om te beslissen of de gerapporteerde kwetsbaarheid in aanmerking komt.
Alle beslissingen door het Doist Bug Bounty-team rond het bedrag van een bounty zijn definitief.