Noi di Spreaker prendiamo molto sul serio la sicurezza e crediamo che ogni aiuto serva per scoprire e affrontare prontamente bug e problemi di sicurezza. Se ritieni di aver riscontrato un problema di sicurezza all'interno del nostro servizio, saremo lieti di collaborare con te per risolvere il problema e ci assicureremo di ricompensarti per la tua scoperta.
Servizi coinvolti
Tutti questi servizi NON rientrano nell'ambito del programma perché sono gestiti da fornitori di terze parti:
blog.spreaker.com
try.spreaker.com
help.spreaker.com
school.spreaker.com
elasticemail.spreaker.com
carriers.spreaker.com
Sono esclusi anche plugin/inclusions/siti web di terze parti (es: javascript incluso da terze parti).
Qualsiasi altro servizio Web *.spreaker.com rientra nell'ambito di applicazione.
Vulnerabilità qualificanti
È probabile che rientri nell'ambito delle vulnerabilità qualificanti qualsiasi problema di progettazione o implementazione che influisca sostanzialmente sulla riservatezza o l'integrità dei dati dell'utente (tranne quando eseguito dall'utente). Ciò comprende:
Cross Site Scripting
Falsificazione di richieste tra siti
Script a contenuto misto
Difetti di autenticazione o autorizzazione
Bug di esecuzione del codice lato server
Penetrazione lato server
Vulnerabilità non qualificanti
Vulnerabilità già segnalata: vulnerabilità già segnalate da te o da altri ricercatori, ma ancora aperte. Due vulnerabilità sono uguali se viene segnalato lo stesso vettore di attacco per 2+ servizi Web/pagine di siti Web
XSS fai-da-te: vulnerabilità che interessano solo il tuo account, non sfruttabili per attaccare altri utenti
Cattive pratiche senza POC: cattive pratiche note, senza prove reali che possano essere utilizzate come vettore di attacco per condurre un attacco a Spreaker
Reindirizzamenti URL: consideriamo solo i reindirizzamenti URL con un attacco pratico
Bug che richiedono un'interazione dell'utente estremamente improbabile: ad esempio, l'utente deve inserire manualmente un codice XSS in un campo
Difetti che interessano gli utenti di browser obsoleti: browser supportati: Edge, Chrome, Firefox, Opera, Safari (ultime versioni)
Attacchi DoS/DDoS
Attacchi di forza bruta
Attacchi Man-In-The-Middle
Politica di divulgazione responsabile
Fintanto che ci concederai un tempo ragionevole per rispondere alla tua segnalazione prima di rendere pubbliche informazioni e fare uno sforzo in buona fede per evitare violazioni della privacy, distruzione di dati e interruzione o degrado del nostro servizio durante la tua ricerca, non avvieremo alcuna causa contro di te e non chiederemo alle forze dell'ordine d'indagare su di te.
Il test automatizzato NON è consentito
L'utilizzo di test automatizzati ti squalifica automaticamente da tutte le ricompense dei bug e comporterà la chiusura dell'account.
Importi della ricompense
I premi per i bug idonei vanno da $100 a $1.000, inviati al tuo conto PayPal. La tabella seguente delinea le ricompense concesse per le classi di bug più comuni:
fino a 100$: vulnerabilità che compromettono i dati di utenti di terze parti (ad es. è possibile modificare i dati del profilo di utenti di terze parti)
fino a 500$: vulnerabilità che compromettono globalmente l'account dell'utente (ad es. puoi autenticarti come qualsiasi utente di terze parti, puoi eliminare qualsiasi account di terze parti, puoi modificare l'e-mail o la password di qualsiasi account di terze parti, ...)
fino a 1000$: vulnerabilità che compromettono i dati e i server privati di Spreaker (es. puoi accedere al codice sorgente, interrogare il database, ottenere l'accesso remoto al server, ecc.)
IMPORTANTE: i pagamenti dei premi vengono inviati solo tramite PayPal. Non facciamo eccezioni.
Come segnalare un problema
Se scopri delle vulnerabilità, invia un'e-mail contenente un proof-of-concept funzionante all'indirizzo security@spreaker.com.