Politique en matière de primes à la détection de bogues (Bug Bounty)
Chez Firecore, nous accordons la priorité au maintien d'un niveau élevé de sécurité dans tous nos produits. Afin d'améliorer leur sécurité globale, nous invitons chaleureusement les personnes qui découvrent des risques de sécurité potentiels ou des fuites de données à les divulguer de manière responsable à notre équipe.
Lorsque vous signalez des problèmes, veuillez suivre les lignes directrices ci-dessous.
- Accédez et exposez uniquement vos propres données
- En cas d'accès ou d'exposition involontaire à d'autres données, signalez-le-nous sans tarder. Ne pas tenter d'exploitation supplémentaire à ce stade
- Éviter les outils et les techniques susceptibles de dégrader la qualité du service pour les autres utilisateurs
- Garder les vulnérabilités strictement confidentielles et ne les divulguer qu'à Firecore.
Domaines d'intérêt
Bien que nous apprécions chaque soumission, de nombreuses soumissions ont tendance à être insignifiantes et ont un impact minimal sur la sécurité des services de Firecore et de nos utilisateurs. Cependant, nous sommes particulièrement intéressés par les points suivants :
- Exécution de code à distance dans nos applications client ou notre infrastructure en nuage
- Attaques par escalade de privilèges contre notre infrastructure en nuage
- Attaques d'authentification
- Scripts intersites (XSS)
- Falsification des demandes intersites (CSRF/XSRF)
Veuillez noter que le programme de récompenses ne couvre pas les types d'envois suivants :
- Vulnérabilités par déni de service (DoS)
- Traitement inadéquat des cookies
- Les failles de sécurité découvertes dans les sites web et les logiciels de tiers utilisés par les services Firecore
- Tentatives d'envoi de fichiers ou de liens malveillants à d'autres personnes
- les cas de spam, d'hameçonnage ou d'utilisation de tactiques d'ingénierie sociale
Reproductibilité
Pour pouvoir prétendre à une quelconque récompense, nos ingénieurs doivent être en mesure de reproduire le problème. Veuillez donc être explicite dans votre rapport, car cela permettra à toutes les parties concernées de gagner du temps.
Récompenses
Nous remercions les personnes qui divulguent de manière responsable des exploits ou des vulnérabilités conformément aux lignes directrices susmentionnées, car leur aide nous permet de renforcer la sécurité des données de nos clients.
Il convient de noter que notre programme de récompense est discrétionnaire et que Firecore se réserve le droit de modifier ou de mettre fin à la politique si cela s'avère nécessaire.
Veuillez noter que les récompenses ne seront accordées que pour les vulnérabilités inconnues ; les problèmes déjà connus, soit par une évaluation interne, soit par des rapports externes, ne pourront pas faire l'objet d'une compensation.
Nous avons le plaisir d'offrir un abonnement gratuit à vie à Infuse Pro pour tous les rapports éligibles. Si vous êtes déjà un utilisateur sous licence d'Infuse Pro, ou si vous n'utilisez pas Infuse, nous vous offrirons l'équivalent en espèces correspondant.
Comment soumettre votre rapport
Pour signaler un problème de sécurité potentiel à Firecore, veuillez suivre les étapes suivantes :
- Envoyez-nous un message sécurisé
- Veillez à ce que votre rapport contienne des informations essentielles, telles que la plateforme, la version de l'application, les conditions d'exploitation requises, une description étayée par une preuve de concept ou un code d'exploitation, l'impact potentiel en cas d'exploitation, ainsi que toute pièce jointe pertinente.
- Veuillez vous abstenir de contacter directement les employés
- Seules les soumissions effectuées à l'aide du formulaire prévu à cet effet pourront être récompensées.
Si nous avons des questions concernant le rapport, nous ne manquerons pas de vous en faire part. Nous vous remercions de nous aider à améliorer la sécurité générale de notre service.