Programme de bug bounty
Nous nous engageons à protéger notre communauté et avons mis en place un programme de sécurité pour les utilisateurs qui peuvent nous signaler des problèmes de sécurité liés à notre site.
Si tu penses avoir trouvé un point faible ou un problème et que tu souhaites participer à notre programme, nous te demandons de nous envoyer une description détaillée du problème, y compris les mesures que nous pouvons prendre pour reproduire le problème et/ou une preuve de concept.
Si tu nous envoies un rapport, merci d’accorder à notre équipe un délai raisonnable pour réagir à ton rapport et résoudre le problème. Nous apprécions beaucoup tes efforts pour protéger notre communauté et pouvons récompenser les participants pour leur aide. Tous les rapports sont soumis aux conditions de notre programme indiquées ci-dessous et aux conditions générales de service disponibles sur le site.
Domaine d’application
Nous sommes heureux de recevoir des rapports sur tous les problèmes ou vulnérabilités liés à la sécurité que tu peux trouver sur notre site. Cependant, ne recourt pas au phishing, au spamming ou à d’autres méthodes douteuses qui pourraient harceler nos utilisateurs ou mettre en danger leurs données, générer un trafic important ou provoquer des perturbations sur notre site. L’utilisation d’outils de scan de sécurité automatiques est autorisée tant qu’ils ne causent pas de problèmes.
Prime
La prime minimale est de 100 $ pour les failles de sécurité. La récompense dépend de la gravité de la faille de sécurité. Les problèmes qui n’ont pas d’impact sur la sécurité n’entrent pas en ligne de compte pour une prime, mais ils sont tout de même les bienvenus et seront traités comme n’importe quel autre rapport.
Éligibilité
- Tu dois être le premier à signaler la faille de sécurité.
- Tu n’accèdes pas aux données d’autres utilisateurs et tu n’utilises que les comptes que tu as créés.
- Tu ne dois pas rendre la faille de sécurité publique avant que nous l’ayons corrigée.
- Tu mets à disposition une preuve de concept qui fonctionne et qui exploite la faille de sécurité.
- Le rapport sur la faille de sécurité est crypté avec PGP (voir détails ci-dessous ; voir : Prise de contact).
Exclusion
Inscription/désinscription CSRF
DDoS
Ingénierie sociale chez les clients ou les employés de HOT Group AG
Self-XSS (nous demandons une preuve de la manière dont le XSS peut être utilisé pour attaquer un autre utilisateur d’Algolia).
Non-respect des limites de taux
Rapport d’outils automatisés et de scans
Faiblesses dans l’envoi de spams ou de messages non autorisés
Bugs dans les logiciels de tiers
Options X-Frame liées
En rapport avec HSTS
DNSSEC
En-têtes de sécurité manquants qui ne conduisent pas directement à une faille de sécurité
Attaques physiques sur l’infrastructure
Attaques théoriques
Rupture de la confiance SSL/TLS
Compromission du navigateur/de l’appareil (par exemple, partage d’un ordinateur, accès physique à l’appareil d’un utilisateur, ...)
Faiblesses qui ne concernent que les utilisateurs de navigateurs et de plates-formes obsolètes ou non patchés.
Politiques de récupération des mots de passe et des comptes, par exemple expiration du lien de réinitialisation ou complexité des mots de passe.
Vulnérabilités sans solution de notre côté (HEIST, ...)
Enregistrements DNS obsolètes qui renvoient à un système qui ne nous appartient pas.
Propriété et incitation
Chaque rapport que tu nous envoies devient notre propriété et nous ne sommes pas obligés de réagir à un rapport. Cependant, si nous répondons à un rapport, nous pouvons, à notre discrétion, t’accorder une compensation monétaire ou non monétaire pour te montrer notre appréciation de ton aide. Tu es responsable de toutes les taxes et de toutes les dépenses, coûts ou frais liés à ta participation au programme et à toute récompense.
Exclusions de garantie
TU RECONNAIS ET ACCEPTES EXPRESSÉMENT QUE : (1) TA PARTICIPATION AU PROGRAMME ET L’UTILISATION DES RÉCOMPENSES SE FONT À TES PROPRES RISQUES. HOT GROUP AG EXCLUT EXPRESSÉMENT TOUTES LES GARANTIES DE QUELQUE NATURE QUE CE SOIT, QU’ELLES SOIENT EXPLICITES OU IMPLICITES, Y COMPRIS, MAIS SANS S’Y LIMITER, LES GARANTIES IMPLICITES DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER ET DE NON-VIOLATION DE DROITS. HOT GROUP AG DÉCLINE NOTAMMENT TOUTE RESPONSABILITÉ POUR LES ACTIONS DÉCOULANT DE TA PARTICIPATION AU PROGRAMME OU DE L’UTILISATION D’UNE PRIME.
Dernière remarque
Nous te demandons de suivre les principes de divulgation responsable et de laisser à notre équipe de développement un délai raisonnable pour réagir et corriger le problème soumis avant de le rendre public. Nous te demandons de communiquer ouvertement avec nous en ce qui concerne la publication, afin que nous soyons d’accord sur le rapport et le calendrier.
Merci beaucoup, nous apprécions vraiment tes efforts ! Bon piratage !
Si tu penses avoir trouvé un point faible ou un problème et que tu souhaites participer à notre programme, nous te demandons de nous envoyer une description détaillée du problème, y compris les mesures que nous pouvons prendre pour reproduire le problème et/ou une preuve de concept.
Si tu nous envoies un rapport, merci d’accorder à notre équipe un délai raisonnable pour réagir à ton rapport et résoudre le problème. Nous apprécions beaucoup tes efforts pour protéger notre communauté et pouvons récompenser les participants pour leur aide. Tous les rapports sont soumis aux conditions de notre programme indiquées ci-dessous et aux conditions générales de service disponibles sur le site.
Domaine d’application
Nous sommes heureux de recevoir des rapports sur tous les problèmes ou vulnérabilités liés à la sécurité que tu peux trouver sur notre site. Cependant, ne recourt pas au phishing, au spamming ou à d’autres méthodes douteuses qui pourraient harceler nos utilisateurs ou mettre en danger leurs données, générer un trafic important ou provoquer des perturbations sur notre site. L’utilisation d’outils de scan de sécurité automatiques est autorisée tant qu’ils ne causent pas de problèmes.
Prime
La prime minimale est de 100 $ pour les failles de sécurité. La récompense dépend de la gravité de la faille de sécurité. Les problèmes qui n’ont pas d’impact sur la sécurité n’entrent pas en ligne de compte pour une prime, mais ils sont tout de même les bienvenus et seront traités comme n’importe quel autre rapport.
Éligibilité
- Tu dois être le premier à signaler la faille de sécurité.
- Tu n’accèdes pas aux données d’autres utilisateurs et tu n’utilises que les comptes que tu as créés.
- Tu ne dois pas rendre la faille de sécurité publique avant que nous l’ayons corrigée.
- Tu mets à disposition une preuve de concept qui fonctionne et qui exploite la faille de sécurité.
- Le rapport sur la faille de sécurité est crypté avec PGP (voir détails ci-dessous ; voir : Prise de contact).
Exclusion
Inscription/désinscription CSRF
DDoS
Ingénierie sociale chez les clients ou les employés de HOT Group AG
Self-XSS (nous demandons une preuve de la manière dont le XSS peut être utilisé pour attaquer un autre utilisateur d’Algolia).
Non-respect des limites de taux
Rapport d’outils automatisés et de scans
Faiblesses dans l’envoi de spams ou de messages non autorisés
Bugs dans les logiciels de tiers
Options X-Frame liées
En rapport avec HSTS
DNSSEC
En-têtes de sécurité manquants qui ne conduisent pas directement à une faille de sécurité
Attaques physiques sur l’infrastructure
Attaques théoriques
Rupture de la confiance SSL/TLS
Compromission du navigateur/de l’appareil (par exemple, partage d’un ordinateur, accès physique à l’appareil d’un utilisateur, ...)
Faiblesses qui ne concernent que les utilisateurs de navigateurs et de plates-formes obsolètes ou non patchés.
Politiques de récupération des mots de passe et des comptes, par exemple expiration du lien de réinitialisation ou complexité des mots de passe.
Vulnérabilités sans solution de notre côté (HEIST, ...)
Enregistrements DNS obsolètes qui renvoient à un système qui ne nous appartient pas.
Propriété et incitation
Chaque rapport que tu nous envoies devient notre propriété et nous ne sommes pas obligés de réagir à un rapport. Cependant, si nous répondons à un rapport, nous pouvons, à notre discrétion, t’accorder une compensation monétaire ou non monétaire pour te montrer notre appréciation de ton aide. Tu es responsable de toutes les taxes et de toutes les dépenses, coûts ou frais liés à ta participation au programme et à toute récompense.
Exclusions de garantie
TU RECONNAIS ET ACCEPTES EXPRESSÉMENT QUE : (1) TA PARTICIPATION AU PROGRAMME ET L’UTILISATION DES RÉCOMPENSES SE FONT À TES PROPRES RISQUES. HOT GROUP AG EXCLUT EXPRESSÉMENT TOUTES LES GARANTIES DE QUELQUE NATURE QUE CE SOIT, QU’ELLES SOIENT EXPLICITES OU IMPLICITES, Y COMPRIS, MAIS SANS S’Y LIMITER, LES GARANTIES IMPLICITES DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER ET DE NON-VIOLATION DE DROITS. HOT GROUP AG DÉCLINE NOTAMMENT TOUTE RESPONSABILITÉ POUR LES ACTIONS DÉCOULANT DE TA PARTICIPATION AU PROGRAMME OU DE L’UTILISATION D’UNE PRIME.
Dernière remarque
Nous te demandons de suivre les principes de divulgation responsable et de laisser à notre équipe de développement un délai raisonnable pour réagir et corriger le problème soumis avant de le rendre public. Nous te demandons de communiquer ouvertement avec nous en ce qui concerne la publication, afin que nous soyons d’accord sur le rapport et le calendrier.
Merci beaucoup, nous apprécions vraiment tes efforts ! Bon piratage !