Vänligen läs igenom vår policy noga, eftersom den förtydligar vilkens sorts säkerhetsrisk som vi kan belöna. Endast rapporter som skickas genom vårt kontaktformulär (tillgängligt via knappen längst ned på sidan) kommer att övervägas för en belöning.
Buggbelöningsprogrammet är en viktig del av Doists säkerhetsåtgärder. Om du har hittat ett säkerhetsproblem, som du tror att vi borde känna till, så vill vi gärna samarbeta med dig. Dina ansträngningar kan göra dig berättigad till en pengabelöning.
Behörighet
- Du måste vara den första som anmäler problemet, för att vara berättigad till belöningen.
- Du måste finnas tillgänglig för att kunna uppge ytterligare information, som vårt team behöver för att kunna återskapa och åtgärda problemet.
Programregler
- Följ HackerOnes riktlinjer för upptäckt av säkerhetsrisker.
- Radera alla testdata eller konton som du har skapat som en del av efterforskningen.
- Attackera eller interagera inte med slutanvändarna.
- Engagera dig inte med stulna användaruppgifter, inklusive inloggningsuppgifter.
- Använd inte automatiserad skanning eller testning, inklusive DoS-attacker.
- Använd inte sociala manipulationstekniker, som t.ex. nätfiske.
- Engagera dig inte i fysiska tester av Doists anställda eller deras utrustning.
Behöriga måladresser
- www.todoist.com
- app.todoist.com
- www.twist.com
- Befintliga versioner av Todoist och Twist för Windows, macOS, Linux, iOS och Android
- För testning, var snäll och använd todoistbounty@protonmail.com som kontot attacken ska riktas mot.
Att skicka in din rapport
- Uppge en detaljerad rapport, som inkluderar tydliga steg för att återskapa problemet, konsekvenser det kan få för våra produkter och/eller användare, samt alla testkonton som du kan ha använt tillsammans med dina testdata.
- Se till att rapportera individuella säkerhetsrisker i separata ärenden.
- Se till att ge din rapport en tydlig rubrik som beskriver säkerhetsrisken.
- Din rapport måste innehålla skrivna instruktioner för hur man ska kunna återskapa säkerhetsrisken. Alla rapporter som saknar tydliga återskapandesteg, eller som endast innehåller en video som koncepttest kan komma att bli nekade belöning.
Belöningar
Du kan ha rätt till att få en pengabelöning om:- Du är den första personen som rapporterar om säkerhetsproblem med en produkt
- Vårt team anser att sårbarheten är en giltig säkerhetsrisk
- Du har efterföljt alla Programreglerna
Alla belöningsbelopp kommer att bestämmas av vårt team, som kommer att utvärdera varje rapport och tilldela en säkerhetsnivå som avgör beloppet på pengabelöningen som delas ut. Säkerhetsnivån bestäms internt, baserat på vilken typ av sårbarhet det är, samt potentiell påverkan. Här nedan så kan du se en översikt av exempel på varje säkerhetsnivå:
- Problem som inte är säkerhetsrelaterade, såsom icke-200 HTTP-svarskoder, applikations- eller serverfel, etc.
- Problem utan tydlig säkerhetspåverkan, såsom utloggad CSRF, avsaknad av HTTP-säkerhetsrubriker, SSL-problem, eller clickjacking på sidor som saknar känsliga åtgärder.
- Problem som påverkar utdaterade applikationer eller komponenter, som inte längre används eller underhålls
- Problem som påverkar en tredje part, som de tredjepartsappar eller tjänster vi använder (t.ex. Firebase, ZenDesk)
- Problem som inkluderar spam eller sociala manipulationstekniker, som t.ex. SPF och DKIM, samt avsaknad av DNSSEC.
- Problem som involverar utlämnande av serverinformation, nämligen `X-Powered-by` pch `Server` som svarsrubriker. Undantag kan finnas när den utlämnade informationen innehåller en serverversion som är associerad med en säkerhetsrisk listad under CVE.
- Problem som involverar Server Side Request Forgery (SSRF) på tjänster som utför aktiva begäran "by design", såvida det inte kan bevisas att känslig information kan läcka ut.
- Buggar som kräver en överdrivet osannolik användarinteraktion (t.ex. att överta ett konto med SSO-inloggning).
- Rapporter som kräver privilegierad åtkomst till målets enheter, eller som på annat sätt är utanför vår kontroll. Dessa inkluderar men är inte begränsade till: åtkomst till webbläsarcookies och/eller annan form av token som kan användas till att imitera användaren, komma åt användarens e-postadress, etc.
- Problem med clickjacking som sker på förautentiserade sidor, eller avsaknad av `X-Frame-alternativ`, eller andra icke-exploaterande problem med clickjacking.
- Problem med Cross-OriginResourceSharing (CORS) där servern INTE svarar med headern `Access-Control-Allow-Credentials: true`.
- Rate limit saknas, såvida det inte kan leda till en exploaterbar säkerhetsrisk.
- Enumeration av användarens e-post vid registrering, inloggning och glömt lösenord-sidor.
- Filer tillgängliga i URL:er med en sökväg som börjar med `/.well-known` (även känd som välkända URI:er).
- Kringgående av 2FA med lösenordsåterställning
- Specifikt för klientappar
- Användardata som lagras okrypterat
- Avsaknad av obfuskering
- Dataintrång för att exploatera exekvering som involverar manipulation av körningskod eller dess miljö
- Öppen omdirigering
- Felkonfigurerad server eller provisioneringsfel
- Läckande eller avslöjande av information, exklusive känsliga användaruppgifter
- Problem med Cross-OriginResourceSharing (CORS), där servern svarar med headern `Access-Control-Allow-Credentials: true` på en begäran med 3:e partsheadern `Origin` (d.v.s. inte `*.todoist.com`, `*.twist.com`).
- Icke-beständig XSS
- Problem med blandat innehåll, om mål-URL:en inte svarar med en 'Strict-Transport-Security'-header (d.v.s. HSTS) Risken föreligger fortfarande men begränsas till en enstaka interaktion per domän/underdomän (beroende på HSTS-värdet). Under 2021 så har webbläsare gått över till en HTTPS-standard, som ytterligare lindrar detta problem.
- Andra problem av låg säkerhetsgrad
- CSRF / XSRF
- SSRF till en intern tjänst
- Beständig XSS
- Andra problem av medelhög säkerhetsgrad
- Läckande eller avslöjande av information, inklusive känsliga användaruppgifter
- Andra problem av hög säkerhetsgrad
- SQL-injektion
- Fjärrkörning av kod
- Behörighetsintrång
- Bruten autentisering
- SSRF till en intern tjänst som resulterar i en kritisk säkerhetsrisk
- Andra problem av kritisk säkerhetsgrad
| App | Inget | Låg | Medium | Hög | Kritisk |
|---|---|---|---|---|---|
| Todoist | 0 dollar | 100 dollar | 200 dollar | 500 dollar | 1000 dollar |
| Twist | 0 dollar | 50 dollar | 100 dollar | 250 dollar | 500 dollar |
Säkerhetsrisker i våra mobila appar för Android kan vara kvalificerade för ytterligare belöning via Google Plays program för säkerhetsbelöningar.
Alla belöningar betalas ut via PayPal.
Doists team förbehåller sig rätten att avgöra om den inskickade säkerhetsrisken är giltig.
Alla bestämmelser angående belöningssumman utfärdad av Doists buggbelöningsteam är slutgiltiga.