Sårbarhedsanmeldelsespolitik

Anmeld en sårbarhed

Del privat oplysninger om den formodede sårbarhed med Crowdin ved at sende en e-mail til support@crowdin.com. Giv alle oplysninger om den formodede sårbarhed, så Crowdins sikkerhedsteam kan validere og genskabe problemet.

Anerkendelser

På vegne af vores tusindvis af brugere, takker vi de navngivne efterforskere for at hjælpe med at gøre Crowdin sikrere. Se Anerkendelser

Dét leder vi efter

Ved anmeldelse af en problematik, bedes en teknisk beskrivelse givet, der tillader os at vurdere udnyttelsesgrad og konsekvens af problematikken.

  • Angive trin til reproduktion af problematikken, herunder relevante URL’er eller kode.
  • Indrapporteres cross-site scripting (XSS), bør sårbarheden som minimum vise en advarsel i browseren. Det er langt bedre, hvis XSS-sårbarheden viser brugerens godkendelses-cookie.
  • Vedr. en cross-site request forgery (CSRF), så benyt en egnet CSRF-case, når en tredjepart får et indlogget offer til at udføre en handling.
  • For en SQL-injektion, skal sårbarheden ses udtrække databasedata, ikke blot generere en fejlmeddelelse.
  • Opfangelse af HTTP-forespørgsler/-svar, eller blot pakke-opfangelse, er også meget nyttig info.
  • Undlade at sende links til ikke-Crowdin websteder, eller problematikker i PDF-/DOC- eller EXE-filer. Billedfiler er OK. Sørg for, at fejlen udnyttes af andre end brugeren selv (f.eks. “self-XSS”).

Dette leder der ikke efter

  • Beskrivende fejlmeddelelser (f.eks app- eller serverfejl).
  • HTTP 404-koder/-sider eller andre HTTP ikke-200-koder/-sider.
  • Banneroffentliggørelse på fælles/offentlige tjenester.
  • Videregivelse af kendte offentlige filer eller mapper, (f.eks. robots.txt).
  • Clickjacking og problematikker kun udnytbare via clickjacking.
  • CSRF i formularer, som er tilgængelige for anonyme brugere (f.eks. kontaktformularen).
  • Log ud-Cross-Site Request Forgery (log ud-CSRF).
  • Tilstedeværelsen af app eller en web-browser “autofuldførelse” eller “Gem adgangskode”-funktionalitet.
  • Mangel på Sikre og kun-HTTP cookie-flag.
  • Mangel på Security Speedbump, når webstedet forlades.
  • Svage Captcha/forbigåelse af Captcha.
  • Brugernavnoptælling via Login-side fejlmeddelelse.
  • Brugernavnoptælling via Glemt adgangskode-side fejlmeddelelse.
  • Log ind- eller Glemt adgangskode-side brute force og kontospærring ikke håndhævet.
  • VALG/SPORING af HTTP-metode aktiveret.
  • SSL-angreb såsom BEAST, BRUD, Genforhandlingsangreb.
  • SSL-viderestillingshemmelighed ikke er aktiveret.
  • SSL usikre krypterings-suites.
  • Anti-MIME-Sniffing-header X-Content-Type-Options.
  • Manglende specifikke HTTP-sikkerhedsheadere.

Sårbarhedsanmeldelsesaftale

Læs venligst disse betingelser, før der testes og/eller anmeldes en sårbarhed. Crowdin lover ikke at tage retslige skridt mod efterforskere for at penetrerer, eller forsøge at penetrere, vores systemer, så længe denne politik overholdes.

Crowdin tillader ikke flg. typer af sikkerhedsefterforskning

Selv om der opfordres til at afdække og anmelde evt. sårbarheder, som finder, til os på en ansvarlig måde, er flg. adfærd udtrykkeligt forbudt:

  • Udføre handlinger, som kan påvirke Crowdin eller dets brugere negativt.
  • Tilgå, eller forsøge at få tilgå, data eller oplysninger, som man ikke ejer.
  • Ødelægge eller beskadige, eller forsøger at ødelægge eller beskadige, data eller oplysninger, som man ikke ejer.
  • At foretage nogle former for fysiske eller elektroniske angreb på Crowdin personale, ejendom eller datacentre.
  • Udføre social engineering mod nogen Crowdin-servicedesk, medarbejder eller kontrahent.
  • Udføre sårbarhedstests af deltagende tjenester vha. andet end testkonti.
  • Overtræde nogle love eller bryde nogle aftaler mhp. at afdække sårbarheder.

Crowdin-sikkerhedsteamets engagement

Man anmodes om ikke at dele eller offentliggøre en uhåndteret sårbarhed med/til tredjemand. Ved ansvarsbevidst indsendelse af en sårbarhedsanmeldelse, vil Crowdins sikkerhedsteam og tilknyttede organisationer i rimelig grad bestræbe sig på at:

  • Bekræfter modtagelsen af sårbarhedsanmeldelse via et betimeligt svar.
  • Oplyse en anslået tidsramme for håndtering af sårbarhedsanmeldelsen.
  • Advisere, når sårbarheden er blevet håndteret.
  • Med glæde takkes hver enkelt efterforsker, der indsender en sårbarhedsanmeldelse, der hjælper med at forbedre den generelle sikkerhedssituation hos Crowdin.

Bemærk venligst, at ved at indsende en sårbarhedsanmeldelse, tildeler du Crowdin en tidsubegrænset, verdensomspændende, royalty-fri, uigenkaldelig og ikke-eksklusiv licens og ret til at benytte, ændre og indarbejde indsendelsen, eller dele heraf, i vore produkter, tjenester eller testsystemer uden yderligere forpligtelser eller underretninger ift. indsenderen.

Der vil være taknemmelighed for evt. yderligere relevante tekniske oplysninger, som måtte besiddes, især hvis reproduktion viser sig problematisk. Kan en sårbarhed ikke reproduceres, kan ingen krediteres for den. Der er dog ingen grund til at beskrive de sikkerhedsmæssige konsekvenser af en afdækning - sikkerhedsrisici forstås og vil kunne løses. Alene tekniske detaljer behøves.

Belønninger

Belønningssystemet er fleksibelt. Belønninger baseres på alvorlighed, indvirkning samt rapporteringskvalitet. F.eks. kan udstedes en kupon til Crowdin-habengut. Afhængigt af afdækningen, kan indlemmelse i Crowdins Hall of Fame ske. Ønsker man at forblive bag et alias (handle), eller være anonym, respekteres dette naturligvis.

Der har konkrete ting, som vi er (og ikke er) på udkig efter - så tjek Dét leder vi efter.

Anmeldes flere problematikker, som er dubletter i forskellige dele af tjenesten (f.eks. den samme kode, der kører på forskellige noder eller platforme), eller en del af en større problemstilling, vil disse som en konsekvens heraf kunne kombineres til én og kun én belønning.

Er en problematik allerede anmeldt tidligere, informeres der herom, når problematikken er løst. Hvis flere efterforskere indberette samme problematik, belønnes alene indsenderen af den første anmeldelse, der indeholder nok tekniske detaljer til at reproducere problemet. Vi ved, at dette ville give os et smuthul til at hævde, at alt er allerede tidligere blevet fundet, men tro os, ønsker vi at optræde fair.

Belønning udbetales ikke, hvis sårbarheden skulle bliver kendt af andre end indsenderen og Crowdin, inden en er rettelse heraf er implementeret.

Man kan altid holde styr på, hvordan ens problematik udvikler sig. Kontakt Crowdins Sikkerhedsteam for dette: support@crowdin.com