Důkladně si přečtěte naše zásady, protože objasňují, za které typy bezpečnostních problémů máte nárok na odměnu. Na odměnu budou mít nárok pouze hlášení odeslaná prostřednictvím našeho kontaktního formuláře (dostupného přes tlačítko v dolní části této stránky).
Program Bug Bounty představuje ve společnosti Doist kritickou součást zabezpečení našich aplikací. Pokud najdete bezpečnostní chybu, o které se domníváte, že bychom o ní měli vědět, jsme jedno velké ucho. Za své zjištění a za snahu vám může vzniknout nárok na odměnu.
Nárok
- Abyste na odměnu měli nárok, musíte být prvním, kdo tuto chybu nahlásí.
- Musíte být plně k dispozici a musíte dodat další informace podle potřeb našeho týmu, aby se chyba dala zopakovat a vyřešit.
Pravidla programu
- Postupujte podle pokynů pro zveřejňování z platformy HackerOne.
- Smažte testovací data nebo účty, které jste si během zkoumání chyby vytvořili.
- Nesmí proběhnout žádný útok na koncové uživatele nebo interakce s nimi.
- Žádným způsobem nenakládejte s ukradenými uživatelskými údaji, včetně přihlašovacích údajů.
- Nepoužívejte automatizované skeny nebo testování, včetně útoků typu DoS.
- Nepoužívejte útoky sociálního inženýrství, jako například phishing.
- Nezapojujte se do fyzického testování zaměstnanců Doist či jejich vybavení.
Povolené cíle
- www.todoist.com
- app.todoist.com
- www.twist.com
- Aktuální verze aplikací Todoist a Twist na Windows, macOS, Linux, iOS a Android
- Pro účely testování použijte jako účet oběti adresu todoistbounty@protonmail.com.
Odeslání hlášení
- Poskytněte podrobný popis včetně jasných kroků k navození chyby, dopadů na naše produkty a/nebo uživatele a testovacích účtů a dat, které jste případně použili.
- Ujistěte se, že na sobě nezávislé chyby zabezpečení nahlásíte odděleně.
- Nezapomeňte dát hlášení jasný název, který chybu zabezpečení popisuje.
- Vaše hlášení musí obsahovat písemné pokyny k zopakování chyby zabezpečení. Na hlášení, které neobsahuje jasné kroky k zopakování chyby nebo obsahuje pouze video, nemusí být brán zřetel a takové hlášení nemusí mít nárok na odměnu.
Odměny
Na finanční odměnu vám může vzniknout nárok, pokud:- Jste první osobou, která nahlásí chybu zabezpečení produktu
- Náš tým chybu zabezpečení vyhodnotí jako platnou bezpečnostní chybu
- Jednáte v souladu s veškerými pravidly programu
Výši všech odměn určí náš tým, který vyhodnotí každé hlášení a přiřadí mu úroveň závažnosti, podle níž se určí výše obdržené peněžní odměny. Úrovně závažnosti určujeme interně na základě typu chyby zabezpečení a potenciálního dopadu. Níže najdete příklady jednotlivých úrovní závažnosti:
- Chyby nesouvisející se zabezpečením, jako například kódy odpovědí, které nejsou typu 200 HTTP, chyby aplikace nebo serveru atd.
- Chyby bez jasného bezpečnostního dopadu, jako například odhlášené CSRF, chybějící bezpečnostní záhlaví HTTP, chyby v SSL, chyby v zásadách hesel nebo tzv. clickjacking na stránkách bez citlivých akcí.
- Chyby ovlivňující zastaralé aplikace nebo komponenty, které se už nepoužívají nebo neudržují
- Chyby ovlivňující třetí strany, jako například aplikace nebo služby třetích stran, které používáme (např. Firebase, ZenDesk)
- Problémy týkající se spamu nebo technik sociálního inženýrství, jako jsou SPF a DKIM, a absence DNSSEC.
- Problémy týkající se prozrazení údajů o serveru, konkrétně hlaviček „X-Powered-by“ a „Server“. Výjimky mohou existovat vždy, když zveřejněné informace obsahují verzi serveru s přidruženým odhalením CVE.
- Chyby týkající se falšování požadavků na straně serveru (SSRF) u služeb, které ve skutečnosti mají provádět aktivní požadavky, pokud není prokázáno, že skutečně může dojít k úniku citlivých údajů.
- Chyby vyžadující mimořádně nepravděpodobnou uživatelskou interakci (např. převzetí účtu prostřednictvím přihlášení SSO).
- Hlášení, které vyžadují privilegovaný přístup k cílovým zařízením nebo které jsou jinak mimo naši kontrolu. Patří mezi ně mimo jiné: přístup k souborům cookie prohlížeče nebo jiným tokenům používaným k vydávání se za uživatele, přístup k e-mailové adrese uživatele atd.
- Problémy s clickjackingem, které se vyskytují na předem ověřených stránkách, nebo absence X-Frame-Options či jiné problémy s clickjackingem, které není možné nijak zneužít.
- Problémy s Cross-OriginResourceSharing (CORS), kdy server NEodpovídá pomocí hlavičky „Access-Control-Allow-Credentials: true“.
- Chybějící limity rychlosti, pokud ovšem nevedou ke zneužitelné chybě v zabezpečení.
- Výčet e-mailů uživatelů na stránkách pro registraci, přihlášení a zapomenuté heslo.
- Soubory dostupné v URI s cestou začínající „/.well-known“ (také známo jako well-known URI).
- Obcházení dvoufaktorového ověřování přes obnovení hesla
- Chyby specifické pro klientské aplikace
- Uživatelská data uchovávána nezašifrovaná
- Chybějící obfuskace
- Runtime hackování, které zahrnuje manipulaci běžícího kódu nebo jeho prostředí
- Otevřená přesměrování
- Špatná konfigurace serveru nebo chyby zřizování
- Úniky nebo vyzrazení informací bez citlivých uživatelských údajů
- Problémy s Cross-OriginResourceSharing (CORS), kdy server odpovídá hlavičkou „Access-Control-Allow-Credentials: true“ na požadavek s hlavičkou „Origin“ třetí strany (tj. ne „*.todoist.com“, „*.twist.com“).
- Odražené XSS
- Problémy smíšeného obsahu, pokud cílový odkaz URL neodpovídá pomocí záhlaví „Strict-Transport-Security“ (čili HSTS). Riziko sice stále existuje, ale je omezeno na jedinou interakci na jednu doménu/subdoménu (v závislosti na hodnotě HSTS). V roce 2021 prohlížeče přecházely na výchozí HTTPS, což tento problém ještě více zmírňovalo.
- Další chyby nízké závažnosti
- CSRF / XSRF
- SSRF na interní službě
- Uložené XSS
- Další chyby střední závažnosti
- Úniky nebo vyzrazení informací včetně citlivých uživatelských údajů
- Další chyby vysoké závažnosti
- Injektáž SQL
- Spuštění vzdáleného kódu
- Elevace oprávnění
- Nefunkční ověření
- SSRF na interním zařízení, které má za následek kritickou bezpečnostní chybu
- Další chyby kritické závažnosti
| Aplikace | Žádný | Nízká | Střední | Vysoká | Kritická |
|---|---|---|---|---|---|
| Todoist | 0 $ | 100 $ | 200 $ | 500 $ | 1000 $ |
| Twist | 0 $ | 50 $ | 100 $ | 250 $ | 500 $ |
Chyby zabezpečení na našich mobilních aplikacích na Androidu mohou být honorovány další odměnou prostřednictvím iniciativy Google Play Security Rewards Program.
Veškeré odměny vyplácíme přes PayPal.
Tým společnosti Doist si vyhrazuje právo určit, zda jsou nahlášené chyby zabezpečení platné a mají nárok na odměnu.
Veškerá rozhodnutí týmu Doist Bug Bounty o výši odměny jsou konečná.