Program Pengungkapan Kerentanan

Program Pengungkapan Kerentanan kami dimaksudkan untuk meminimalkan dampak kelemahan keamanan apa pun terhadap alat atau pengguna kami. Agar memenuhi syarat untuk Program, kerentanan harus ada dalam rilis publik terbaru. Anda harus ingat bahwa hanya kerentanan keamanan yang memenuhi syarat.

Pedoman Dan Batasan Ruang Lingkup

Sebelum melaporkan, harap tinjau informasi berikut termasuk program pengungkapan kerentanan, cakupan, dan pedoman kami lainnya. Untuk mendorong penelitian kerentanan dan untuk menghindari kebingungan antara peretasan dengan itikad baik dan serangan berbahaya, kami meminta Anda:

  • Ikuti Program Pengungkapan ini, serta perjanjian terkait lainnya
  • Jangan menyebabkan kerugian apa pun, menghalangi kelancaran aplikasi, atau bertindak melawan Perjanjian Persyaratan Penggunaan kami
  • Jangan dengan sengaja mengakses data Kommo non-publik lebih dari yang diperlukan untuk menunjukkan kerentanan.
  • Jangan mengakses, memodifikasi, menghancurkan, menyimpan, mengirimkan, mengubah, mentransfer, menggunakan atau melihat data milik orang lain selain diri Anda sendiri. Jika sebuah kerentanan memberikan akses yang tidak diinginkan ke data, harap hentikan pengujian, bersihkan informasi lokal, dan segera kirim laporan.
  • Hindari melanggar privasi orang lain, mengganggu sistem kami, merusak data, dan/atau merusak pengalaman pengguna.
  • Jangan berkompromi dengan privasi atau keamanan pelanggan kami dan pengoperasian layanan kami. Kegiatan tersebut akan dianggap ilegal.
  • Jaga kerahasiaan rincian kerentanan yang ditemukan, menurut Program Pengungkapan ini. Pengungkapan kerentanan publik yang tidak terkoordinasi dapat mengakibatkan diskualifikasi dari program ini.
  • Mematuhi hukum dan peraturan yang berlaku.
  • Gunakan hanya saluran resmi yang ditunjuk (lihat “Pelaporan”) untuk mendiskusikan informasi kerentanan dengan kami

Saat melakukan penelitian kerentanan dalam ruang lingkup sesuai dengan Program Pengungkapan ini, kami menganggap penelitian ini sebagai:

  • Diotorisasi sesuai dengan Undang-Undang Penipuan dan Penyalahgunaan Komputer (CFAA) (dan/atau undang-undang negara bagian serupa), dan kami tidak akan memulai atau mendukung tindakan hukum terhadap Anda atas pelanggaran yang tidak disengaja dan dengan itikad baik terhadap Program Pengungkapan ini saat melakukan penelitian kerentanan asli.
  • Dikecualikan dari Digital Millennium Copyright Act (DMCA), dan kami tidak akan menuntut Anda atas pengelakan kontrol teknologi saat melakukan penelitian kerentanan asli menurut Program Pengungkapan ini.
  • Dikecualikan dari batasan dalam Perjanjian Persyaratan Penggunaan kami yang akan mengganggu pelaksanaan penelitian keamanan kerentanan asli, dan kami mengabaikan pembatasan tersebut secara terbatas untuk penelitian kerentanan asli yang dilakukan berdasarkan Program Pengungkapan ini.
  • Sah, membantu keamanan Internet secara keseluruhan, dan dilakukan dengan itikad baik.

Kami berhak untuk tidak bertindak jika ada temuan tanpa dampak risiko nyata pada integritas dan keamanan data kami. Semua penelitian yang melanggar ketentuan Program ini, Perjanjian Ketentuan Penggunaan, Keselamatan dan Keamanan, dan dokumentasi terkait GDPR serta hukum yang mengatur akan diperlakukan sebagai tindakan dengan itikad buruk dan dengan cara yang ilegal. Kami tidak berkewajiban untuk memberikan remunerasi, biaya, atau penghargaan untuk pengungkapan kerentanan apa pun – tindakan tersebut tetap menjadi kebijakan penuh kami.

Jika sewaktu-waktu Anda merasa khawatir atau tidak yakin apakah riset keamanan Anda konsisten dengan Program Pengungkapan ini, kirimkan laporan melalui salah satu saluran Pelaporan resmi kami sebelum melangkah lebih jauh.

Cakupan

Saat ini, layanan dan aplikasi berikut berada dalam cakupan:

  • Aplikasi dan infrastruktur web: https://www.kommo.com
  • Setiap subdomain tingkat ketiga Kommo.com
  • Apa pun yang berdampak signifikan di seluruh postur atau infrastruktur keamanan kami

Di Luar Cakupan

Kami hanya menerima tes manual atau semi-manual. Semua temuan yang berasal dari alat atau skrip otomatis akan dianggap di luar cakupan. Selain itu, semua masalah tanpa dampak keamanan yang teridentifikasi dengan jelas, header keamanan yang hilang, atau pesan kesalahan deskriptif akan dianggap di luar cakupan.

Hal-hal ini juga dianggap di luar cakupan:

  • Serangan yang dirancang atau cenderung menurunkan, menyangkal, atau berdampak buruk pada layanan atau pengalaman pengguna (mis., Penolakan Layanan, Distributed Denial of Service, Brute Force, Password Spraying, Spam...).
  • Serangan yang dirancang atau cenderung untuk menghancurkan, merusak, membuat data atau informasi yang bukan milik Anda tidak dapat dibaca (atau dicoba di dalamnya).
  • Serangan yang dirancang atau kemungkinan untuk memvalidasi kredensial yang dicuri, penggunaan kembali kredensial, pengambilalihan akun (ATO), pembajakan, atau teknik berbasis kredensial lainnya.
  • Secara sengaja mengakses data atau informasi yang bukan milik Anda di luar akses minimum yang diperlukan untuk menunjukkan kerentanan.
  • Melakukan serangan fisik, rekayasa sosial, atau elektronik terhadap personel, kantor, jaringan nirkabel, atau properti kami.
  • Masalah keamanan dalam aplikasi, layanan, atau dependensi pihak ketiga yang terintegrasi dengan produk atau infrastruktur Kommo yang tidak memiliki bukti konsep yang dapat dibuktikan untuk kerentanan (misalnya, perpustakaan, layanan SAAS).
  • Masalah keamanan atau kerentanan yang dibuat atau diperkenalkan oleh pelapor (mis., memodifikasi perpustakaan yang kami andalkan untuk menyertakan kerentanan dengan tujuan semata-mata untuk menerima hadiah).
  • Serangan yang dilakukan pada sistem apa pun yang tidak disebutkan secara eksplisit sebagai resmi dan dalam ruang lingkup.
  • Laporan tentang “praktik terbaik” yang hilang atau pedoman lain yang tidak menunjukkan masalah keamanan.
  • Serangan yang terkait dengan server email, protokol email, keamanan email (misalnya, SPF, DMARC, DKIM), atau spam email.
  • Cookie flags yang tidak ada pada non-sensitive cookie.
  • Laporan penyandian SSL/TLS tidak aman (kecuali disertai dengan bukti konsep yang berfungsi).
  • Laporan tentang bagaimana Anda dapat mempelajari apakah klien tertentu dapat mengautentikasi ke produk atau layanan Kommo.
  • Laporan pemetaan antara nama kode dan nama klien.
  • Laporan pemindaian IP atau port sederhana.
  • Header HTTP tidak ada (mis. kurangnya HSTS).
  • Praktik atau kontrol terbaik keamanan email (mis. SPF, DKIM, DMARC).
  • Banner perangkat lunak atau infrastruktur, sidik jari, atau pengintaian tanpa kerentanan yang terbukti.
  • Clickjacking atau laporan XSS mandiri.
  • Laporan catatan DNS yang dapat dipecahkan atau diakses secara publik untuk host atau infrastruktur internal.
  • Phishing berbasis domain, kesalahan ketik, punycodes, bitflips, atau teknik lainnya.
  • Melanggar hukum apa pun atau melanggar perjanjian apa pun (atau laporan apa pun tentang hal itu).

Pelaporan

Temuan Anda harus didukung oleh dokumentasi yang jelas dan tepat tanpa informasi spekulatif. Semua temuan harus memiliki indikasi relevansi dan dampak. Ingatlah untuk memberikan ringkasan terperinci tentang kerentanan, termasuk target, langkah, alat, dan artefak yang digunakan selama penemuan yang akan memungkinkan kami mereproduksi kerentanan.

Untuk memastikan pengamatan Anda dilaporkan dengan benar, Anda hanya boleh menggunakan saluran yang disetujui, yaitu Anda harus melaporkan kerentanan yang ditemukan melalui email ke security@team.amocrm.com