Politica Pubblica Di Segnalazione Delle Vulnerabilità

Valido a partire dal 17.06.2020
Proprietario: Tarmo Randel, Responsabile Della Sicurezza Delle Informazioni

Introduzione

L'obiettivo di Bolts è quello di offrire i migliori e più sicuri prodotti e servizi. Apprezziamo il lavoro dei ricercatori sulla sicurezza che dedicano tempo e fatica aiutandoci a rendere la nostra piattaforma e le nostre applicazioni più sicure.

Se hai trovato una vulnerabilità o altri problemi di sicurezza nella nostra piattaforma di servizio o applicazione - ti preghiamo di contattare Security (security@bolt. u). Eseguiamo anche il programma di bug bounty, contatta Security per maggiori dettagli.

Regole di base e aspettative

  • Non fare nulla che possa fare male a te stesso o agli altri.
  • Rispetta la privacy dei nostri utenti.
  • Non tolleriamo l'estorsione.
  • Non rivelare pubblicamente i risultati senza il nostro consenso.
  • Sii rispettoso quando interagisci con il personale di Bolt, potremmo non risponderti immediatamente a causa del carico di lavoro, ma rispondiamo.
  • Solo il primo reporter della vulnerabilità sconosciuta può ottenere rinomanza o ricompensa.
  • Non utilizziamo Paypal/cryptovalute per premiare i risultati.
  • Non ricompensiamo i risultati mentre il test di sicurezza previsto per le nostre applicazioni è in corso.

Legale

Rispetta sempre le leggi locali. Non accettiamo esplicitamente qualsiasi forma di attività criminale.

Linee guida sulla divulgazione

  • Testa solo sistemi in ambito Scope.
    • Descrivi i prerequisiti che devono essere soddisfatti per sfruttare la vulnerabilità.
    • Descrivi lo stato del sistema testato.
    • Se possibile, fornisci il codice Proof-of-Concept
  • Durante la ricerca delle vulnerabilità, ti preghiamo di cercare di essere il meno invadente possibile. Utilizza solo carichi utili innocui nei tuoi exploit.
  • Non disturbare i nostri servizi intenzionalmente e fai uno sforzo di buona volontà per non interrompere i nostri servizi accidentalmente.
  • Utilizza account di prova e non compromettere account, dati o privacy di altri utenti.
  • Non utilizzare o segnalare i risultati degli strumenti di scansione automatica.
  • Non avviare attacchi DoS e non cercare di generare carichi elevati in generale. Se pensi che i nostri server abbiano un problema specifico nella gestione di carichi elevati, puoi discuterne teoricamente con noi e cercheremo di riprodurre i tuoi risultati in un ambiente non produttivo.

Il campo di applicazione

  • Applicazione Bolt driver; iOS, Android e Web.
  • Applicazione Bolt rider; iOS, Android e Web.
  • Applicazioni Bolt Food.
  • *.bolt.eu
  • *.taxify.eu

Vulnerabilità non ammissibili

  • Rapimento del click su pagine senza azioni di modifica dei dati.
  • CSRF non autenticato/logout/login.
  • Attacchi che richiedono MITM o accesso fisico al dispositivo dell'utente.
  • Librerie vulnerabili precedentemente conosciute senza un rilevante lavoro PoC correlato con Bolt.
  • Le migliori pratiche di configurazione SSL/TLS mancanti o comunicazione non-TLS.
  • Qualsiasi attività che potrebbe portare alla perturbazione del servizio (DoS).
  • Problemi di spoofing e iniezione di testo senza mostrare un vettore di attacco/senza essere in grado di modificare HTML/CSS.
  • Problemi con SPF, DKIM, DMARC.
  • Cookie flags.
  • XSS (o un comportamento) dove puoi attaccare solo il tuo account.
  • XSS sulle pagine in cui gli amministratori forniscono intenzionalmente tutte le funzionalità di editing HTML.
  • Download reflected file.
  • Sicurezza fisica degli uffici Bolt e dei suoi dipendenti.

Esclusioni

  • Ingegneria sociale del personale Bolt.
  • Pubblicare, trasmettere, caricare, collegare, inviare o memorizzare intenzionalmente qualsiasi tipo di software dannoso.
  • Applicazioni o siti web o servizi di terzi che integrano o collegano i servizi di Bolt.
  • Diventare un impiegato o un partner Bolt.

Cronologia

Cerchiamo di rispondere alla tua mail in due giorni lavorativi e ti preghiamo di inviare la tua mail in Inglese. Dopo la nostra prima risposta valuteremo i tuoi risultati e ti contatteremo entro una settimana.

Informativa

  • Ti preghiamo di astenerti dalla pubblicazione di dettagli tecnici di qualsiasi vulnerabilità che troverai, per darci l'opportunità di risolverla. Cercheremo di elaborare un calendario di divulgazione con te.
  • Prima di inviare un rapporto, ti preghiamo di leggere le nostre Linee Guida di Informativa di cui sopra.
  • Puoi inviare qualsiasi vulnerabilità su nostri sistemi e prodotti a security@bolt.eu con o senza la nostra PGP key