Programme de divulgation de bogue et de récompense

La communauté de la recherche sur la sécurité des logiciels rend le Web meilleur et plus sûr. Nous soutenons leurs efforts de chasse aux bogues avec un programme de récompense.

Pour signaler une vulnérabilité, veuillez nous envoyer un courriel à [email protected]

Vulnérabilités admissibles

Les domaines et applications suivants sont inclus dans le cadre du programme :

  • ecohabitation.com
  • ecohome.net

Pour être admissible, un chasseur de bogues doit démontrer une brèche de sécurité sur ce domaine à l’aide d’un problème reproductible, notamment :

  • Problèmes de script intrasite
  • Problèmes de falsification de demandes intrasites
  • Défauts d’authentification ou d’autorisation
  • Applications mobiles officielles d’Écohabitation ou défauts de l’API
  • Bogues d’exécution de code côté serveur
  • Défauts d’injection de contenus
  • Erreurs de configuration importantes en matière de sécurité
  • Systèmes de recommandation et de classement

Les vulnérabilités suivantes ne sont pas admissibles au programme de primes :

Note : Même si certaines de ces questions pourraient être très pertinentes dans d’autres contextes, dans le contexte d’Écohabitation, nous avons déterminé qu’elles ne présentent pas un grand risque. Si vous croyez que l’on se trompe, veuillez nous contacter.

  1. Auto-XSS.
  2. Connexion/déconnexion CSRF.
  3. Problème de configuration CSRF sans preuve de concept exploitable. Un cas de preuve de concept de la FCRS qui nécessite Burp ou un proxy de réseautage n’est pas valide ou suffisant.
  4. En-têtes de sécurité manquants qui ne conduisent pas directement à une vulnérabilité.
  5. Vulnérabilités des composants tiers utilisés sur Écohabitation, selon la gravité et l’exploitabilité. Par exemple, nous essayons de nous tenir au courant des versions d’OpenSSL, mais tous les problèmes de sécurité n’ont pas d’impact sur la configuration d’Écohabitation.
  6. Bogues qui nécessitent une interaction utilisateur ou un hameçonnage improbable. Cela inclut les problèmes communément appelés clickjacking ou attaque de réparation d’interface utilisateur.
  7. Les entreprises nouvellement acquises sont soumises à une période de transition pour nous permettre d’examiner et de tout mettre à niveau. Les acquisitions qui sont mises à niveau seront ajoutées au programme de divulgation des bogues une fois qu’elles seront mises à niveau. Les bogues signalés avant cela ne seront généralement pas admissibles à une récompense.
  8. Limites de courriels envoyés lors de l’inscription, de la connexion et de la modification des confirmations par courriel.
  9. Limites de formulaires envoyés lors de l’inscription, de la connexion et de soumissions pour inclusion aux sites.
  10. Lorsque les liens de connexion par courriel précédents ne sont pas invalidés dans le cas où plusieurs liens de connexion sont demandés. Tous les liens expirent dans 60 minutes.
  11. Lorsque l’utilisateur n’est pas déconnecté de l’application native Android alors qu’il s’est déconnecté de toutes les sessions à partir du Web. Nous offrons une expérience en lecture seule à l’utilisateur et nous prévenons la possibilité de publier, de recommander, de répondre, de mettre en surbrillance et d’accéder aux brouillons, aux signets, à l’historique et aux paramètres.
  12. Lorsqu’à l’aide d’un outil d’usurpation de courriel, vous envoyez un courriel usurpé tel qu’envoyé à partir d’Écohabitation, le courriel est envoyé, mais est marqué comme spam, par opposition au courriel qui n’est pas envoyé du tout.
  13. Lorsque l’on se connecte à Écohabitation dans plusieurs navigateurs/onglets, ou lorsque l’on se connecte et se déconnecte à plusieurs reprises, créant ainsi de nombreuses sessions utilisateur.
  14. Vaincre le paywall en effaçant les cookies, en utilisant la navigation privée, ou en créant de nouvelles sessions utilisateur.
  15. L’utilisation d’URL avec des symboles Unicode semblables également connus sous le nom d’attaques homographes.
  16. Redux DevTools en production. Nous sommes conscients qu’il est possible d’utiliser Redux DevTools sur les pages d’Écohabitation en production. Nous n’exposons absolument aucune donnée privée et, à ce titre, nous ne la voyons pas comme un risque. Toutefois, si vous notez des données exposées qui ne devraient pas être là, n’hésitez pas à nous contacter.

Règles pour les visiteurs

  • Ne rendez pas le bogue public avant qu’il n’ait été corrigé.
  • N’essayez pas d’accéder au compte ou aux données d’un autre utilisateur. Utilisez vos propres comptes de test pour les tests inter comptes.
  • N’exécutez aucune attaque qui pourrait nuire à la fiabilité et à l’intégrité de nos services ou de nos données. Les attaques DDoS/spam ne sont pas autorisées.
  • Testez uniquement les vulnérabilités sur les sites ou applications exploités par Écohabitation. Certains sites hébergés sur des sous-domaines ou partenaires d’Écohabitation ou des plateformes qu’il utilise peuvent être exploités par des tiers et ne doivent pas être testés.
  • Ne pas impacter les autres utilisateurs avec des tests, cela inclut le test des vulnérabilités dans les comptes que vous ne possédez pas. Nous pourrions suspendre tout compte Écohabitation et bannir les adresses IP si vous le faites.
  • N’utilisez pas de scanneurs ou d’outils automatisés pour trouver des vulnérabilités. Ils sont bruyants et nous pourrions suspendre votre compte Écohabitation et interdire votre adresse IP.
  • Aucune attaque non technique telle que l’ingénierie sociale, l’hameçonnage ou les attaques physiques contre nos employés, utilisateurs ou infrastructures.
  • Plus la preuve de concept est complète, plus il y a de chances qu’un paiement soit accordé.
  • En cas de doute, envoyez un courriel à [email protected]

Règles pour nous

  • Nous répondrons le plus rapidement possible à la soumission de bogues.
  • Nous vous tiendrons au courant lorsque nous corrigeons le bogue que vous avez soumis.
  • Nous n’agirons pas contre vous si vous suivez les règles et agissez de bonne foi.

Les récompenses

En fonction de la gravité du bogue et de l’exhaustivité de la soumission, que nous évaluerons entièrement à notre discrétion, nous offrons les récompenses suivantes :

  • Exécution de code à distance: 150 $
  • Accès illimité aux systèmes de fichiers ou aux bases de données : 100 $
  • Bogues fuyants ou contournant des contrôles de sécurité importants : 100 $
  • Bogues permettant la manipulation artificielle des systèmes de classement et de recommandation : 50 $
  • Exécuter du code sur le client, y compris XSS: 10 $
  • Redirection ouverte: 50 $
  • Autres vulnérabilités de sécurité valides : schwag et reconnaissance sur humans.txt.
  • Vulnérabilités aux services auxiliaires ou dépendances tierces : schwag et reconnaissance.

Choses juridiques et notes finales

Nous traitons uniquement avec les chercheurs de bogues, et non pas avec les courtiers en vulnérabilité.

Si vous résidez dans un pays sur une liste de contrôle des exportations restreintes des États-Unis ou du Canada, ou si vous êtes sur une liste de personnes recherchées canadienne ou américaine, ou sur une liste restreinte de contrôle des exportations, vous n’êtes pas admissible à participer à ce programme.

Nous prendrons la décision finale sur l’admissibilité et la valeur des bogues. Ce programme existe entièrement à notre discrétion et peut être modifié ou annulé en tout temps. Les modifications que nous apportons aux modalités de ces programmes ne s’appliquent pas rétroactivement. Merci de nous aider à rendre Écohabitation.com plus sécuritaire.