Bug Bounty -ohjelma

FlowHunt pyrkii pitämään palvelunsa turvallisena kaikille, ja tietoturva on ensiarvoisen tärkeää. Jos olet tietoturvatutkija ja olet löytänyt palvelusta haavoittuvuuden, arvostamme, että ilmoitat siitä meille yksityisesti ja annat meille mahdollisuuden korjata asian ennen teknisten yksityiskohtien julkaisua.

FlowHunt työskentelee tietoturvatutkijoiden kanssa, kun meille raportoidaan haavoittuvuuksia tässä kuvatulla tavalla. Vahvistamme, reagoimme ja korjaamme haavoittuvuudet tukien sitoutumistamme turvallisuuteen ja yksityisyyteen. Emme ryhdy oikeustoimiin, jäädytä emmekä lopeta Palvelun käyttöoikeuksia niiltä, jotka löytävät ja raportoivat haavoittuvuudet vastuullisesti. FlowHunt pidättää kaikki lailliset oikeutensa mahdollisissa rikkomustapauksissa.

Kelpoisuus

Jotta voit osallistua bug bounty -ohjelmaamme, sinun täytyy:

• Olla vähintään 18-vuotias
• Et saa olla nykyinen tai entinen FlowHuntin työntekijä, urakoitsija tai lähisukulainen
• Et saa olla Yhdysvaltojen pakotteiden alainen tai asua Yhdysvaltojen embargo-maassa
• Noudata kaikkia sovellettavia lakeja ja säädöksiä
• Noudata vastuullista ilmoittamiskäytäntöä

Raportointi

Ilmoita kaikista epäillyistä haavoittuvuuksista FlowHuntin tietoturvatiimille osoitteeseen support@flowhunt.io . Älä julkaise näitä tietoja julkisesti tämän prosessin ulkopuolella ilman erillistä lupaa.

Raportin laatuvaatimukset

Haavoittuvuusraportissasi tulisi olla:

• Yhteenveto: Lyhyt kuvaus haavoittuvuudesta
• Vaikutus: Mahdollinen tietoturvavaikutus ja liiketoimintariski
• Toistovaiheet: Yksityiskohtaiset ohjeet vaihe vaiheelta
• Proof of Concept: Näyttö, joka osoittaa haavoittuvuuden
• Vaikuttavat kohteet: Tarkat URL-osoitteet, parametrit tai komponentit
• Vakavuusarvio: Arviosi vakavuustasosta
• Korjausehdotukset: Suositellut korjaukset (valinnainen)

Jos haluat lähettää useita raportteja kerralla, lähetä ensin vain yksi raportti (mieluiten tärkein) ja odota vastausta.

Vastausaikataulu

• Vahvistus: 5 arkipäivän kuluessa raportin vastaanottamisesta
• Alkuarviointi: 10 arkipäivän kuluessa
• Ratkaisun tavoite: 90 päivän sisällä, jos haavoittuvuus on pätevä
• Päivitykset: Säännölliset tilannetiedot koko prosessin ajan

Palkkiot

Olemme iloisia voidessamme tarjota palkkion tiedoista, jotka auttavat suojaamaan asiakkaitamme kiitokseksi tietoturvatutkijoille, jotka osallistuvat bug bounty -ohjelmaamme.

Vakavuusluokitus

Kriittinen vakavuus (100 $):

• Etäkäyttöoikeuden saanti (remote code execution)
• SQL-injektio, joka johtaa tietojen saantiin
• Tunnistautumisen ohitus, joka vaikuttaa useisiin käyttäjiin
• Oikeuksien laajennus ylläpitotason oikeuksiin
• Täydellinen tilin kaappaus

Keskitasoinen vakavuus (50 $):

• Cross-site scripting (XSS), jolla on merkittävä vaikutus
• Käyttöoikeuksien ohitus, joka vaikuttaa rajattuun tietoon
• Hakemistojen selaus ja tiedostojen luku
• Istunnonhallinnan haavoittuvuudet
• Tunnistautumisen rikkominen, joka vaikuttaa yksittäisiin käyttäjiin

Matala vakavuus (ei palkkiota):

• Pieni tietovuoto
• Self-XSS ilman realistista hyökkäysvektoria
• Nopeusrajoitusten puutteet
• Puuttuvat suojausotsikot ilman hyödynnettävissä olevaa vaikutusta

Maksuehdot

• Palkkiot maksetaan ainoastaan PayPalin kautta
• Bug bounty -tutkijoiden tulee luoda ja lähettää PayPal-lasku
• Muita maksutapoja ei ole tarjolla
• Maksu käsitellään 30 päivän kuluessa laskun vastaanottamisesta
• Kaikki maksut ovat voimassa olevien verosäännösten alaisia

Palkitsemme vain ensimmäisen haavoittuvuuden raportoijan. Kaksoisraporteista ei makseta palkkiota.

Laajuus

Rajatun testauksen kohteet

Voit testata vain FlowHunt-tilillä, jonka omistaja olet, tai tilillä, jonka omistaja on valtuuttanut sinut testaamaan. Esimerkiksi: yourdomain.flowhunt.io

Kelvolliset kohteet:

• *.flowhunt.io -domainit ja alidomainit
• FlowHuntin web-sovellukset ja API:t
• FlowHuntin mobiilisovellukset (jos sovellettavissa)

Hyväksyttävät haavoittuvuustyypit:

• Etäkäskyjen suoritus (RCE)
• SQL-injektio
• Tunnistautumisen rikkominen
• Istunnonhallinnan rikkominen
• Käyttöoikeuksien ohitus
• Cross-Site Scripting (XSS)
• Avoin URL-uudelleenohjaus
• Hakemistoräppely
• Palvelinpuolen pyyntöjen väärinkäyttö (SSRF)
• Liiketoimintalogiikan virheet

Ei kuulu ohjelman piiriin

Kielletyt toiminnot:

• Sosiaalisen manipuloinnin hyökkäykset (phishing, vishing jne.)
• Fyysiset hyökkäykset tai fyysinen pääsy FlowHuntin tiloihin
• Palvelunestohyökkäykset (DoS) tai hajautetut palvelunestohyökkäykset (DDoS)
• Roskaposti, massaviestit tai automaattiset työkalut järjestelmiämme vastaan
• Verkko- eli infrastruktuuritason hyökkäykset tai skannaukset
• Hyökkäykset, jotka vaativat fyysistä pääsyä käyttäjän laitteisiin
• Brute force -hyökkäykset tai salasanojen murtaminen
• Testaus tileillä, joita et omista tai joihin sinulla ei ole nimenomaista lupaa

Ei-palkittavat havainnot:

• Ilmoitukset, joissa hyökkääjä voi uhata vain omaa tiliään
• XSS, jonka aiheuttaa ylläpitäjä tai etuoikeutettu käyttäjä
• Haavoittuvuudet, jotka vaativat epätodennäköistä käyttäjän toimintaa
• Ongelmat, jotka vaativat käyttäjää asentamaan haitallista ohjelmistoa
• Teoreettiset haavoittuvuudet ilman selkeää hyväksikäyttöpolkua
• Sisällön väärentäminen ilman turvallisuusvaikutusta
• Nopeusrajoitusten puuttuminen ilman osoitettavaa vaikutusta
• Ongelmia, jotka koskevat vain vanhentuneita selaimia tai alustoja

Ohjelman säännöt

Testausohjeet

• Testaa vain tileillä, jotka omistat tai joihin sinulla on nimenomainen lupa
• Älä käytä, muokkaa tai poista muiden käyttäjien tietoja
• Älä häiritse palveluita tai heikennä suorituskykyä
• Rajoita automaattista testausta palvelun toiminnan turvaamiseksi
• Älä julkaise haavoittuvuuksia ennen niiden korjaamista
• Pyri välttämään yksityisyyden loukkauksia ja tietojen tuhoamista

Suoja & oikeudellinen suoja

FlowHunt sitoutuu:

• Ei ryhdy oikeustoimiin tutkijoita vastaan, jotka noudattavat tätä ohjetta
• Tekee yhteistyötä tutkijoiden kanssa ymmärtääkseen ja vahvistaakseen tietoturvaongelmat
• Tunnustaa pätevät panokset turvallisuuteemme
• Pitää tutkijan henkilöllisyyden luottamuksellisena ilman lupaa

Tutkijoiden tulee:

• Noudattaa kaikkia sovellettavia lakeja ja määräyksiä
• Käyttää vain tietoja, jotka ovat tarpeen haavoittuvuuden osoittamiseksi
• Raportoida haavoittuvuudet viipymättä ja hyvässä uskossa
• Ei hyödyntää haavoittuvuuksia enempää kuin demonstraation kannalta on tarpeen

Ilmoitusaikataulu

• Välittömästi: Raportti lähetetään osoitteeseen support@flowhunt.io
• 90 päivää: Vakiomuotoinen julkaisuajankohta alkuperäisen raportin jälkeen
• Yhteistyössä: Julkinen raportointi vasta yhteisellä sopimuksella
• Hätätilanne: Kriittisissä haavoittuvuuksissa voidaan käyttää nopeutettua aikataulua

Tutkijat voivat julkaista haavoittuvuuden 90 päivän kuluttua alkuperäisestä raportista tai kun FlowHunt vahvistaa ongelman olevan ratkaistu – kumpi tapahtuu ensin. Suosittelemme koordinoitua julkaisua ja työskentelemme tutkijoiden kanssa sopivan ajoituksen löytämiseksi.