Ansvarlig rapportering

Hos Trustly setter vi sikkerheten til våre kunder og brukere høyest.
Dersom du oppdager en sårbarhet, ber vi deg om å rapportere det til oss slik at vi kan håndtere det raskt og ansvarlig.

Rapporter et problem

Hurtiglenker

Retningslinjer for ansvarlig rapporteringOmfang for sikkerhetHall of FameRapporter et problem

Retningslinjer for ansvarlig rapportering

  • Du må gjøre en innsats i god tro for å unngå personvernbrudd eller forstyrrelser i tjenestene vi leverer. Dette inkluderer, men er ikke begrenset til, uautorisert tilgang til eller ødeleggelse av data, samt avbrudd eller degradering av våre tjenester. Du må også følge gjeldende lover og forskrifter, inkludert forbud mot uautorisert datatilgang.
  • Dersom du oppdager en sikkerhetsfeil, skal du kun bruke den til testing, og du må ikke teste utenfor din egen konto eller andres konto uten eksplisitt skriftlig samtykke fra kontoeier. Du må også ta hensyn til eventuelle tilleggsrisikoer, for eksempel kompromittering av sensitiv firmainformasjon eller andre brukeres kontoer.
  • Ikke bruk automatiserte skannere
  • Ikke test fysisk sikkerhet ved kontorer, ansatte eller utstyr
  • Ikke bruk sosial manipulasjon (phishing, vishing osv.)
  • Ikke gjennomfør DoS/DDoS-angrep
  • Ikke del sårbarheter offentlig uten eksplisitt tillatelse
  • Vi fører en liste over sikkerhetsforskere som har sendt inn gyldige rapporter. Det er frivillig å bli oppført, og vi forbeholder oss retten til å begrense informasjon knyttet til navnet ditt.

Omfang for sikkerhet

Vi er kun interessert i sårbarheter knyttet til domener og IP-adresser som eies av Trustly Group AB eller Trustly Inc. Bruk WHOIS for å bekrefte eierskap.

Følgende typer funn er alltid utenfor omfang (ikke uttømmende):

  • HTTP 404-feil eller andre ikke-200 HTTP-koder
  • Avsløring av kjente offentlige filer eller mapper (f.eks. robots.txt)
  • Clickjacking og sårbarheter som kun kan utnyttes gjennom clickjacking
  • CSRF på skjemaer tilgjengelig for anonyme brukere
  • Logout CSRF
  • Autoutfylling/passordlagring fra apper eller nettlesere
  • Manglende HTTP/secure-flagg på ikke-sensitive cookies
  • OPTIONS-metoden aktivert
  • E-postenumerering av @trustly.com-adresser
  • Manglende HTTP-sikkerhetsheadere, slik (https://www.owasp.org/index.php/
    List_of_useful_HTTP_headers),
    for eksempel
    a.Strict-Transport-Security
    b. X-Frame-Options
    c. X-XSS-Protection
    d. X-Content-Type-Options
    e. Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    f. Content-Security-Policy-Report-Only
  • TLS/SSL-relaterte problemer (BEAST, BREACH, svake chiffer)
  • Innholdsfalsk/text injection uten HTML/CSS
  • Svake passordregler
  • Feil eller mangelfull e-postkonfigurasjon (DMARC, SPF, DKIM)
  • Listen er ikke uttømmende.

Hall of Fame

Som takk opprettholder vi en Hall of Fame-liste over de som sender inn gyldige funn. Det er frivillig å stå på listen.

Takk for at du hjelper oss å holde Trustly trygt.

  • Maara (hackerone.com/maara)
  • Shubham Sanjay Deshmukh (LinkedIn)
  • Zeeshan Khalid (X)
Trustly sign

Har du funnet en sikkerhetsfeil?

Hvis det du har funnet er innenfor vårt definerte scope og du har fulgt retningslinjene for ansvarlig avsløring, ber vi deg sende rapporten til security@trustly.com.

Vi anbefaler at du krypterer rapporten med vår offentlige PGP-nøkkel før du sender den.