Política de Reporte de Vulnerabilidad Pública

Válido desde: 17.06.2020
Propietario: Tarmo Randel, Administrador de Seguridad de Información

Introducción

El objetivo de Bolt es ofrecer los mejores y más seguros productos y servicios. Valoramos el trabajo de los investigadores de seguridad que dedican tiempo y esfuerzo ayudándonos a hacer nuestra plataforma y aplicaciones más seguras.

Si ha encontrado alguna vulnerabilidad u otros problemas de seguridad en nuestra plataforma de servicio o aplicación - póngase en contacto con Security (security@bolt. u). También ejecutamos el programa de recompensas de fallos, póngase en contacto con Security para obtener más detalles.

Reglas básicas y expectativas

  • No hagas nada que pueda causar daño a ti o a otros.
  • Respete la privacidad de nuestros usuarios.
  • No toleramos la extorsión.
  • No revele públicamente el hallazgo sin nuestro consentimiento.
  • Sea respetuoso al interactuar con el personal de Bolt, puede que no le respondamos inmediatamente debido a la carga de trabajo, pero sí respondemos.
  • Sólo el primer reportero de vulnerabilidad desconocida puede recoger fama o recompensa.
  • No usamos Paypal/criptomoneda para recompensar hallazgos.
  • No recompensamos los hallazgos mientras la prueba de seguridad planificada de nuestras aplicaciones esté en curso.

Legal

Siempre obedecemos sus leyes locales. Rechazamos explícitamente la actividad delictiva en cualquier forma.

Guía de divulgación

  • Prueba sólo los sistemas en el ámbito de aplicación.
    • Describa los requisitos previos que deben cumplirse para explotar la vulnerabilidad.
    • Describa el estado comprobado del sistema.
    • Si es posible, proporcione código de prueba de concepto
  • Al buscar vulnerabilidades, por favor trate de ser lo menos intrusivo posible. Utilice sólo cargas inofensivas en sus exploits.
  • No interrumpa nuestros servicios con intención y haga un esfuerzo de buena voluntad para no interrumpir nuestros servicios por accidente.
  • Utilice cuentas de prueba y no comprometa las cuentas de otros usuarios, datos o privacidad.
  • No utilice o informe de los resultados de las herramientas de escaneo automatizado.
  • No inicie ataques de denegación de servicio o trate de generar altas cargas en general. Si usted piensa que nuestros servidores tienen un problema específico en el manejo de cargas elevadas, puede discutir eso teóricamente con nosotros y nosotros tratamos de reproducir sus conclusiones en un entorno no productivo.

El alcance

  • Aplicación de conductor de Bolt: iOS, Android y Web.
  • Aplicación pasajero de Bolt: iOS, Android y Web.
  • Aplicaciones de Bolt Food.
  • *.bolt.eu
  • *.taxify.eu

Vulnerabilidades no calificadas

  • Haciendo clic en páginas sin ninguna modificación de datos.
  • Sin autenticar/cerrar sesión/iniciar sesión CSRF.
  • Ataques que requieran MITM o acceso físico al dispositivo del usuario.
  • Bibliotecas vulnerables conocidas anteriormente sin un PoC de trabajo relevante relacionado con Bolt.
  • La configuración SSL/TLS mejor práctica falla o comunicación no TLS.
  • Cualquier actividad que pueda llevar a la interrupción del servicio (DoS).
  • Problemas de falsificación de contenido e inyección de texto sin mostrar un vector de ataque/sin poder modificar HTML/CSS.
  • SPF, DKIM, problemas de DMARC.
  • Marcas de cookies.
  • XSS (o un comportamiento) donde sólo puede atacar su propia cuenta.
  • XSS en páginas donde los administradores tienen intencionalmente todas las capacidades de edición de HTML.
  • Descarga de archivos reflejada.
  • Seguridad física de las oficinas y empleados de Bolt.

Exclusiones

  • Ingeniería social del personal de Bolt.
  • Publicar, transmitir, cargar, enlazar, enviar o almacenar cualquier software malicioso de forma consciente.
  • Aplicaciones de terceros o sitios web o servicios que se integran o enlazan a los servicios de Bolt.
  • Ser un trabajador o socio de Bolt.

Cronología

Intentamos responder a su correo en dos días hábiles y por favor envíe su correo en inglés. Después de nuestra primera respuesta evaluaremos sus hallazgos y nos pondremos en contacto con usted en el plazo de una semana.

Divulgación

  • Por favor, no publique detalles técnicos de cualquier vulnerabilidad que encuentre para darnos la oportunidad de corregirlo. Intentamos elaborar un cronograma de divulgación con usted.
  • Antes de enviar un informe, por favor lea nuestras Directrices de divulgación arriba.
  • Puede enviar cualquier vulnerabilidad en nuestros sistemas y productos a security@bolt.eu con o sin usar nuestra clave PGP