Veuillez lire attentivement notre politique, car elle clarifie le type de problèmes de sécurité que nous pourrons récompenser. Seuls les rapports soumis via notre formulaire de contact (accessible par le bouton en bas de cette page) seront pris en compte pour obtenir une prime.
Le programme de prime de découverte de bugs de Doist constitue un élément clé de nos efforts en matière de sécurité. Si vous découvrez un problème de sécurité que nous devrions connaître, nous serions ravis de travailler avec vous. Vos efforts peuvent vous donner droit à une prime.
Éligibilité
Vous devez être la première personne à signaler ce problème pour être éligible à une prime.
Vous devez être en mesure de fournir des informations supplémentaires requises par notre équipe pour reproduire et corriger le problème.
Fournissez un rapport précis détaillant des étapes reproductibles claires, leur impact sur nos produits et/ou nos utilisateurs, et les éventuels comptes de test que vous avez utilisés ainsi que les données des tests.
Signalez les vulnérabilités indépendantes dans un ticket distinct.
Donnez un titre clair à votre rapport décrivant la vulnérabilité.
Votre message doit inclure des instructions écrites pour reproduire la vulnérabilité. Un rapport sans étapes de reproduction claires ou qui ne comprend qu'une vidéo de démonstration peut être inéligible à une prime.
Primes
Vous pouvez être éligible à une prime si :
Vous êtes la première personne à soumettre une vulnérabilité sur nos produits
La vulnérabilité est considérée comme un problème de sécurité valide par notre équipe
Vous avez respecté les règles du programmes
Le montant des primes de découverte sera déterminé par notre équipe, qui évaluera chaque rapport et attribuera un niveau de gravité déterminant le montant de la prime reçue. Les niveaux de gravité sont décidés en interne sur la base du type de vulnérabilité et de leur impact potentiel. Vous trouverez ci-dessous quelques exemples pour chaque niveau de gravité :
Problèmes non liés à la sécurité, par exemple si notre serveur ne retourne pas un code HTTP 200, les erreurs d'application ou de notre serveur, etc.
Problèmes sans impact clair sur la sécurité, tels que déconnexion de CSRF, en-têtes de sécurité HTTP manquants, problèmes SSL, problèmes avec la politique de mots de passe ou détournement de clic sur des pages sans impact important
Problèmes affectant des applications ou des composants obsolètes, qui ne sont plus utilisés ou maintenus
Problèmes affectant des tiers, tels que les applications ou services tiers que nous utilisons (par exemple, Firebase, ZenDesk)
Les problèmes liés aux techniques de spam ou d'ingénierie sociale, comme SPF et DKIM, et l'absence de DNSSEC.
Problèmes impliquant des informations de divulgation de serveur, à savoir "X-Powered-by" et en-têtes de réponse du "Serveur". Des exceptions peuvent exister chaque fois que les informations divulguées contiennent une version de serveur avec une divulgation CVE associée.
Les problèmes impliquant la falsification des demandes côté serveur (SSRF) sur les services qui effectuent des demandes actives, à moins qu'il ne soit prouvé que des informations sensibles peuvent être divulguées.
Bugs nécessitant des actions hautement improbable de l'utilisateur (ex. : prise de contrôle de compte via une connexion SSO).
Les rapports qui nécessitent un accès privilégié aux appareils cibles ou qui sont sinon hors de notre contrôle. Cela inclut, sans s'y limiter : accès aux cookies du navigateur et/ou aux autres jetons utilisés pour imiter l'utilisateur, accès à l'adresse e-mail de l'utilisateur, etc.
Problèmes de détournement de clic qui se produisent sur des pages pré-authentifiées, ou l'absence d'options X-Frame, ou tout autre problème de détournement de clic non exploitable.
Problèmes de Cross-OriginResourceSharing (CORS), lorsque le serveur ne répond PAS avec l'en-tête "Access-Control-Allow-Credentials : true".
Les "missing rate limits", sauf si cela peut conduire à une vulnérabilité exploitable.
Énumération de l'e-mail de l'utilisateur sur les pages d'inscription, de connexion et d'oubli de mot de passe.
Fichiers disponibles sur des URI dont le chemin commence par `/.well-known` (aussi appelés well-known URI).
Contournement de l'A2F par la réinitialisation du mot de passe
Spécifique aux applications clients
Données utilisateurs stockées sans chiffrage
Manque d'opacification
Exploits de piratage d'exécution qui impliquent la manipulation du code en cours d'exécution ou de son environnement
Niveau de gravité : faible
Redirections ouvertes
Erreur de configuration du serveur ou erreurs d'approvisionnement
Fuites ou divulgation d'informations, à l'exclusion des données utilisateurs sensibles
Problèmes de Cross-OriginResourceSharing (CORS), lorsque le serveur répond avec l'en-tête "Access-Control-Allow-Credentials : true" à une requête avec l'en-tête "Origin" d'un tiers (c'est-à-dire pas "*.todoist.com", "*.twist.com").
XSS réfléchi
Les problèmes de contenu mixtes, si l'URL cible ne répond pas avec un en-tête 'Strict-Transport-Security' (c.-à-d. HSTS). Le risque existe toujours mais est limité à une seule interaction par domaine/sous-domaine (en fonction de la valeur HSTS). En 2021, les navigateurs sont passés à une valeur HTTPS par défaut, atténuant davantage ce problème.
Autres problèmes de faible gravité
Niveau de gravité : moyen
CSRF / XSRF
SSRF vers un service interne
XSS stocké
Autres problèmes de moyenne gravité
Niveau de gravité : élevé
Fuites ou divulgation d'informations comprenant des données utilisateurs sensibles
Autres problèmes de gravité élevée
Niveau de gravité : critique
Injection SQL
Exécution de code à distance
Escalade des privilèges
Authentification cassée
SSRF vers un service interne, provoquant un risque de sécurité critique