Bug Bounty-politik
Hos Firecore prioriterer vi at opretholde et højt sikkerhedsniveau i alle vores produkter. For at forbedre deres generelle sikkerhed byder vi personer, der opdager potentielle sikkerhedsrisici eller datalækager, hjerteligt velkommen til at afsløre dem på en ansvarlig måde over for vores team.
Når du rapporterer problemer, bedes du følge nedenstående retningslinjer.
- Kun adgang til og eksponering af dine egne data
- Hvis der opstår utilsigtet adgang til eller eksponering af andre data, skal du straks rapportere det til os. Forsøg ikke yderligere udnyttelse på dette tidspunkt
- Undgå værktøjer og teknikker, der kan forringe servicekvaliteten for andre brugere.
- Hold sårbarheder strengt fortrolige og videregiv dem kun til Firecore.
Interesseområder
Selvom vi værdsætter hver eneste indsendelse, har mange indsendelser tendens til at være trivielle og have minimal indflydelse på sikkerheden af Firecores tjenester og vores brugere. Vi er dog særligt interesserede i følgende:
- Eksekvering af fjernkode i vores klientapplikationer eller cloud-infrastruktur
- Privilege escalation-angreb mod vores cloud-infrastruktur
- Angreb på autentificering
- Cross-site scripting (XSS)
- Forfalskning af anmodninger på tværs af websteder (CSRF/XSRF)
Vær opmærksom på, at belønningsprogrammet ikke dækker følgende typer indsendelser:
- Denial of Service-sårbarheder (DoS)
- Utilstrækkelig håndtering af cookies
- Sikkerhedsfejl opdaget på tredjepartswebsteder og -software, der bruges af Firecores tjenester
- Forsøg på at sende ondsindede filer eller links til andre personer
- Tilfælde af spam, phishing eller brug af social engineering-taktikker
Reproducerbarhed
For at kvalificere sig til nogen form for belønning skal vores ingeniører være i stand til at reproducere problemet. Så vær venligst tydelig i din rapport, da det vil spare tid for alle involverede parter.
Belønninger
Vi er taknemmelige for dem, der ansvarligt afslører eventuelle exploits eller sårbarheder i overensstemmelse med ovennævnte retningslinjer, da deres hjælp hjælper os med at forbedre sikkerheden for vores kunders data.
Det skal bemærkes, at vores belønningsprogram er diskretionært, og Firecore forbeholder sig ret til at ændre eller afslutte politikken, hvis det skønnes nødvendigt.
Bemærk venligst, at der kun gives belønninger for ukendte sårbarheder; problemer, der allerede er kendt, enten gennem intern vurdering eller eksterne rapporter, er ikke berettiget til kompensation.
Vi er glade for at kunne tilbyde et gratis livstidsabonnement på Infuse Pro til alle kvalificerede rapporter. Hvis du allerede er en licenseret bruger af Infuse Pro, eller hvis du ikke bruger Infuse, tilbyder vi dig den tilsvarende kontante modværdi.
Sådan indsender du din rapport
Følg disse trin for at rapportere et potentielt sikkerhedsproblem til Firecore:
- Send os en sikker besked
- Sørg for, at din rapport indeholder vigtige oplysninger, såsom platform, app-version, nødvendige exploit-betingelser, en beskrivelse understøttet af proof of concept eller exploit-kode, den potentielle effekt, hvis den udnyttes, og alle relevante vedhæftede filer.
- Undlad venligst at kontakte individuelle medarbejdere direkte.
- Kun indsendelser foretaget via den angivne formular vil være berettiget til belønninger
Hvis vi har spørgsmål til rapporten, skal vi nok give dig besked. Vi sætter pris på din hjælp til at forbedre den generelle sikkerhed i vores tjeneste.