Kebijakan Pengungkapan Kerentanan | OneSuite

Laporkan kerentanan pada sistem OneSuite

Pendahuluan

Di OneSuite, keamanan informasi merupakan prioritas utama, dan kami berkomitmen untuk melindungi kerahasiaan, integritas, dan ketersediaan sistem dan data kami. Kebijakan ini memberikan panduan yang jelas bagi peneliti keamanan dalam melakukan penelitian kerentanan dan menjelaskan bagaimana kerentanan dapat dilaporkan secara bertanggung jawab kepada kami.

Dokumen ini menjelaskan sistem dan jenis penelitian apa yang dicakup oleh kebijakan ini, cara mengirimkan laporan kerentanan, dan jangka waktu yang kami sarankan untuk pengungkapan publik.

Kami mendorong peneliti keamanan untuk melaporkan kerentanan sebagaimana dijelaskan dalam kebijakan ini. Upaya Anda membantu kami mengatasi masalah potensial dan menjaga keamanan ekosistem OneSuite.

Otorisasi

Jika Anda melakukan upaya dengan itikad baik untuk mematuhi kebijakan ini, OneSuite menganggap penelitian Anda sebagai yang diotorisasi. Kami akan bekerja sama dengan Anda untuk memahami dan menyelesaikan masalah dengan cepat dan tidak akan merekomendasikan atau mengambil tindakan hukum terkait penelitian Anda.

Jika pihak ketiga mengambil tindakan hukum terhadap Anda atas kegiatan yang dilakukan sesuai dengan kebijakan ini, OneSuite akan memberitahukan otorisasi ini.

Panduan

Berdasarkan kebijakan ini, "penelitian" mengacu pada kegiatan di mana Anda:

  • Memberitahu kami sesegera mungkin setelah Anda menemukan masalah keamanan yang nyata atau potensial.
  • Melakukan analisis hanya dalam ruang lingkup yang ditentukan.
  • Menghindari pelanggaran privasi, penurunan pengalaman pengguna, gangguan sistem produksi, dan penghancuran atau manipulasi data.
  • Menggunakan eksploitasi hanya sejauh diperlukan untuk mengkonfirmasi keberadaan kerentanan. Jangan menggunakan eksploitasi untuk mengkompromikan atau mengeksfiltrasi data, mendapatkan akses baris perintah, atau berpindah ke sistem lain.
  • Memberikan kami jangka waktu yang wajar untuk memperbaiki masalah sebelum mengungkapkannya secara publik.
  • Menghindari pengiriman laporan berkualitas rendah dalam jumlah besar.

Setelah Anda menentukan bahwa kerentanan ada, atau menemukan data sensitif (termasuk data pribadi, data keuangan, atau informasi kepemilikan atau rahasia dagang dari pihak mana pun), Anda harus menghentikan pengujian Anda, segera memberitahu kami, dan tidak mengungkapkan data ini kepada orang lain.

Ruang Lingkup

Kebijakan ini berlaku untuk sistem dan layanan berikut:

  • *.onesuite.io

Masalah di Luar Ruang Lingkup

Masalah berikut dianggap di luar ruang lingkup kebijakan ini:

  • Pengujian terhadap aset pelanggan OneSuite.
  • Halusinasi model.
  • Masalah moderasi konten atau rekrutmen.
  • Praktik keamanan yang dimitigasi oleh kontrol lain (misalnya, header keamanan yang hilang).
  • Rekayasa sosial, phishing, dan serangan fisik.
  • Masalah seperti flag cookie yang hilang, CSRF berdampak rendah (misalnya, CSRF login/logout), spoofing konten, atau stack trace.
  • Kerentanan tanpa dampak keamanan yang dapat ditunjukkan.
  • Serangan DOS/DDOS.
  • Injeksi header host tanpa dampak.
  • Output pemindai, pesan kesalahan server (kecuali mengungkapkan informasi kritis).
  • Laporan tentang browser yang usang atau bug non-kritis.

Semua layanan yang tidak secara eksplisit tercantum di bagian "Ruang Lingkup" di atas, seperti layanan yang terhubung, dikecualikan dari ruang lingkup dan tidak diotorisasi untuk pengujian. Selain itu, kerentanan yang ditemukan di sistem vendor kami berada di luar ruang lingkup kebijakan ini dan harus dilaporkan langsung ke vendor sesuai dengan kebijakan pengungkapan mereka (jika tersedia). Jika Anda tidak yakin apakah suatu sistem berada dalam ruang lingkup, hubungi kami di [email protected] sebelum memulai penelitian Anda.

Pengakuan

Meskipun OneSuite saat ini tidak menawarkan imbalan finansial, kami menghargai kontribusi Anda. Sebagai bentuk penghargaan kami, kami akan mengakui bantuan Anda di halaman Pengakuan Pengungkapan Keamanan kami kecuali Anda memilih untuk tetap anonim. Kami sedang berupaya mengimplementasikan program bug bounty untuk memungkinkan imbalan finansial di masa depan.

Melaporkan Kerentanan

Informasi yang disampaikan berdasarkan kebijakan ini akan digunakan secara eksklusif untuk tujuan defensif. Jika temuan Anda mengungkapkan kerentanan yang mempengaruhi komunitas pengguna yang lebih luas, kami dapat membagikan laporan Anda dengan Cybersecurity and Infrastructure Security Agency (CISA). Kami tidak akan mengungkapkan nama atau informasi kontak Anda tanpa izin Anda.

Apa yang Ingin Kami Lihat

Untuk membantu kami melakukan triase dan prioritas pengiriman secara efektif, harap berikan informasi berikut:

  • Lokasi dan potensi dampak kerentanan.
  • Deskripsi terperinci tentang langkah-langkah yang diperlukan untuk mereproduksi kerentanan (misalnya, skrip bukti konsep, tangkapan layar).
  • Laporan dalam bahasa Inggris.

Apa yang Dapat Anda Harapkan dari Kami

Jika Anda membagikan detail kontak Anda, kami berkomitmen untuk hal berikut:

  • Konfirmasi penerimaan laporan Anda dalam 14 hari kerja.
  • Konfirmasi keberadaan kerentanan dan informasi tentang proses perbaikan kami, termasuk kemungkinan keterlambatan.

Harap diperhatikan bahwa OneSuite tidak menawarkan kompensasi atas kerentanan yang disampaikan. Dengan mengirimkan laporan, Anda melepaskan segala klaim atas kompensasi.

Pertanyaan

Untuk pertanyaan atau saran tentang kebijakan ini, hubungi kami di [email protected].

Terakhir Diperbarui: November 12, 2024