Divulgation Responsable
Nos clients nous font confiance pour la sécurité et la confidentialité de leurs données. Nous prenons la sécurité au sérieux et travaillons sans relâche pour garantir une confiance fondée. Vous avez un problème à signaler ? Contactez-nous à l’adresse security@teamretro.com
Divulgation responsable
Nous encourageons toute personne pratiquant une divulgation responsable et respectant nos politiques et conditions d’utilisation à participer à notre programme de chasse aux bugs. Veuillez éviter les tests automatisés et effectuer uniquement des tests de sécurité avec vos propres données. Veuillez ne divulguer aucune information concernant les vulnérabilités tant que nous ne les avons pas corrigées. Les récompenses sont attribuées à notre discrétion, en fonction de la criticité de la vulnérabilité signalée, et sont distribuées via PayPal.
Vous pouvez signaler des vulnérabilités en contactant security@teamretro.com. Veuillez inclure une preuve de concept. Nous vous répondrons dans les plus brefs délais et n’engagerons aucune action en justice si vous respectez les règles.
Couverture
- *.teamretro.com
Spécifiquement:- secure.teamretro.com
Exclusions
- *.eu.teamretro.com
- ww1.teamretro.com
- ww2.teamretro.com
- ww3.teamretro.com
- www.teamretro.com
- at.teamretro.com
- help.teamretro.com
- feedback.teamretro.com
- mail.teamretro.com
- status.teamretro.com
- track.teamretro.com
- icebreaker.teamretro.com
- www-assets.teamretro.com
Les vulnérabilités acceptées sont les suivantes
- Cross-Site Scripting (XSS)
- Open redirect
- Cross-site Request Forgery (CSRF)
- Command/File/URL inclusion
- Authentication issues
- Code execution
- Code or database injections
Ce programme de prime aux bugs n’inclut PAS
- Account/email enumerations
- Denial of Service (DoS)
- Attaques susceptibles de nuire à la fiabilité/intégrité de notre entreprise
- Spam attacks
- Détournement de clic sur des pages sans authentification et/ou changements d’état sensibles
- Mixed content warnings
- Lack of DNSSEC
- Content spoofing / text injection
- Timing attacks
- Social engineering
- Phishing
- Cookies non sécurisés pour les cookies non sensibles ou les cookies tiers
- Vulnérabilités nécessitant une interaction utilisateur extrêmement improbable
- Exploits nécessitant un accès physique à la machine d’un utilisateur
- En-têtes de sécurité manquants qui ne conduisent pas directement à une vulnérabilité
- Manque de bonnes pratiques (nous exigeons la preuve d’une vulnérabilité de sécurité)
L’analyse automatisée doit être limitée à 1 requête par seconde (1rps) sans accord préalable, et tous les détails du bug bounty doivent rester confidentiels.