Politique de bogues et de sécurité
L'équipe d'eventplanner.net est très dévouée à la protection des données de nos utilisateurs. En tant que petite entreprise, nous concentrons nos efforts sur la collaboration avec un éventail restreint de chercheurs et d'outils de sécurité. Nous avons la chance d'avoir la confiance et le soutien de notre communauté. Par conséquent, nous n'offrons pas de « programme de primes » traditionnel avec des récompenses financières.
Nous invitons les chercheurs de sécurité dédiés qui identifient des vulnérabilités légitimes avec des implications substantielles à partager leurs découvertes avec nous. Nous tenons les hackers éthiques en haute estime pour leur rôle crucial dans le maintien de la cybersécurité, et bien que nous soyons une petite entreprise aux moyens limités, nous contribuons à cette communauté. Si, en revanche, ton approche utilise principalement des outils automatisés pour détecter des problèmes mineurs, puis demander un paiement, nous devons t'informer que tu risques d'être déçu.
La portée de cette politique est limitée aux domaines suivants : eventplanner.net, eventplanner.be, eventplanner.nl, eventplanner.es, eventplanner.de, eventplanner.ie, eventplanner.co.uk, eventplanner.lu et eventplanner.fr. Garde à l'esprit que la base de code est la même pour tous ces domaines. Il est donc préférable de concentrer tes efforts sur le domaine principal, eventplanner.net.
En vertu de cette politique, nous nous engageons à corriger tous les bogues acceptées dans un délai raisonnable, déterminé par la gravité et la complexité.
La langue officielle de cette Politique est l'anglais, qui sert de version principale et directrice. En cas de divergence entre la version anglaise de la présente Politique et toute traduction ultérieure, la version anglaise prévaudra et fera autorité.
Règles d'engagement
Si, après avoir lu les informations ci-dessus, tu souhaites toujours nous divulguer des vulnérabilités, tu reconnais que nous ne maintenons pas de « programme de primes » et que toute récompense potentielle sera offerte en fonction de nos critères de distribution des récompenses. En soumettant tes signalements, tu exprimes ton consentement et ton engagement à respecter les directives de la politique et les conditions légales mentionnées dans la présente politique, reconnaissant que tu as lu et compris ces termes.
Règles de politique
- Ne teste les vulnérabilités qu'en utilisant des comptes que tu possèdes personnellement ; ne compromets jamais ou et ne cible jamais des comptes appartenant à d'autres utilisateurs. eventplanner.net ne fournit aucun accès ou compte supplémentaire, y compris les comptes de test.
- N'interagis pas avec le contenu de nos utilisateurs, par exemple en aimant leurs posts, en les commentant ou en demandant des offres. Pour tester ces fonctionnalités, visite notre page de test dédiée.
- N'utilise jamais une découverte pour compromettre ou exfiltrer des données, ou pour basculer vers d'autres systèmes. Une preuve de concept ne doit être utilisée que pour démontrer un problème.
- Si le processus de découverte d'une vulnérabilité entraîne l'accès à des informations sensibles, telles que des données personnelles ou des informations d'identification, ces informations ne doivent pas être conservées, transférées, consultées ou traitées de quelque manière que ce soit après leur découverte initiale. Toutes les instances d'informations sensibles doivent être supprimées.
- Les chercheurs ne doivent pas et ne sont pas autorisés à participer à des activités qui pourraient perturber, endommager ou nuire à eventplanner.net, ses marques ou ses utilisateurs. Cela inclut l'ingénierie sociale, le phishing, la sécurité physique et les attaques par déni de service contre les utilisateurs et les employés, ou eventplanner.net
- Lors de la recherche de vulnérabilités, il est interdit de compromettre l'intégrité, la disponibilité et les conditions de confidentialité des applications et services eventplanner.net. Toute activité pouvant endommager les applications, l'infrastructure, les clients ou les partenaires de l'entreprise est strictement interdite.
- Lors des tests d'injection SQL, toutes les actions du serveur sont strictement interdites, à l'exception de la récupération d'informations sur la base de données actuelle, sa version, l'utilisateur actuel ou le nom d'hôte.
- Lors des tests de chargement et de lecture de fichiers, il est strictement interdit de lire, altérer, modifier, supprimer ou remplacer les fichiers du serveur, y compris les fichiers système.
- Les chercheurs ne sont pas autorisés à divulguer publiquement des vulnérabilités (partageant des détails quels qu'ils soient avec quiconque autre que les employés autorisés d'eventplanner.net) ou à partager des vulnérabilités avec un tiers sans l'autorisation écrite expresse d'eventplanner.net. La divulgation aux autorités n'est possible qu'après consultation mutuelle et avec l'autorisation d'eventplanner.net
- Veille à ce que les inconvénients soient minimes. Respecte toujours les règles de la politique. N'utilise pas de scanners et d'outils automatisés ; ces outils intègrent des charges utiles susceptibles de provoquer des changements d'état ou d'endommager les systèmes de production et les données.
- Ne teste pas au-delà de ce qui est nécessaire pour découvrir la vulnérabilité.
- Avant de causer des dommages potentiels, cesse toute activité, fais part de tes constatations et demande une autorisation supplémentaire pour tester.
- En aucun cas, l'intention frauduleuse ou un acte visant à causer délibérément un préjudice ne sera inclus dans l'autorisation de cette police.
La violation de l'une de ces règles pourrait entraîner l'inéligibilité et des poursuites judiciaires.
En ce qui concerne cette Politique, tu t'engages à respecter les Conditions d'utilisation et la Politique de confidentialité d'eventplanner.net, ainsi que toutes les lois et réglementations applicables, y compris les lois ou réglementations régissant la confidentialité ou le traitement légal des données.
eventplanner.net se réserve le pouvoir de réviser ou de modifier les termes de cette politique à sa discrétion. Si tu es un résident ou une personne située dans un pays figurant sur la Carte des sanctions imposées par l'UE (telle qu'émise par l'Union européenne), il t'est interdit de participer.
eventplanner.net n'accorde aucune autorisation implicite ou explicite à une personne ou à un groupe de personnes pour (1) extraire et publier des informations personnelles ou du contenu appartenant aux clients d'eventplanner.net ou à leurs utilisateurs sans le consentement de l'utilisateur, ou (2) modifier ou corrompre des programmes ou des données qui appartiennent à eventplanner.net, ses partenaires ou fournisseurs dans le but d'extraire et de divulguer publiquement des données.
La loi du 28 novembre 2022 (loi belge), sur la protection des personnes qui signalent des violations au droit de l'Union ou au droit national constatées au sein d'une entité juridique du secteur privé, reste pleinement en vigueur.
Les employés d'eventplanner.net (y compris les anciens employés), les freelances, les sous-traitants et leur personnel, les consultants, les membres de la famille immédiate et les personnes résidant dans le même foyer ne sont pas éligibles pour recevoir des primes ou des récompenses de quelque nature que ce soit.
Données personnelles
Le traitement des données personnelles n'est pas inclus dans cette Politique. En cas d'action spécifique ou de découverte d'une vulnérabilité exposant des données personnelles, eventplanner.net doit être contacté immédiatement pour vérifier si l'enquête de sécurité peut être poursuivie. Le traitement des données personnelles est toujours soumis à la signature d'un DPA (un avis de traitement des données) en vertu duquel les garanties énoncées ci-dessous doivent être assurées :
- Ne traiter les données personnelles que sur la base d'instructions écrites d'eventplanner.net ;
- pour obtenir une confirmation écrite, toutes les personnes autorisées à traiter des données personnelles devront signer un NDA (accord de non-divulgation), un DPA (accord de traitement des données) et respecter toute la législation européenne applicable, y compris la conservation des données en Europe ;
- tu dois prendre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque ;
- obtenir l'accord préalable d'eventplanner.net pour employer un autre hacker éthique et obliger ce dernier à se conformer au contenu de la présente politique ;
- aider eventplanner.net au moyen de mesures techniques et organisationnelles appropriées, dans la mesure du possible, à remplir son obligation de répondre aux demandes d'exercice des droits de la personne concernée ;
- assister eventplanner.net dans le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d'impact, consultation préalable), en tenant compte de la nature du traitement et des informations dont dispose le pirate éthique ;
- informer eventplanner.net sans délai dès que le pirate éthique a connaissance d'une violation de données personnelles ;
- supprimer toutes les données personnelles ou les renvoyer à eventplanner.net, et supprimer les copies existantes après avoir participé aux activités mentionnées dans cette Politique ;
- fournir à eventplanner.net toutes les informations nécessaires pour démontrer le respect de ses obligations, y compris un registre de toutes les catégories d'activités de traitement qui ont été effectuées pour le compte de eventplanner.net ;
- exclure l'utilisation des données personnelles à des fins autres que la détection de vulnérabilités dans le système ou la communication de ces données à des tiers ;
Accord de non-divulgation
Avant d'approfondir les discussions sur les vulnérabilités identifiées dans le cadre de cette Politique, y compris des sujets tels que la rémunération, tu dois d'abord signer un accord de non-divulgation avec nous. Cela servira de prérequis avant de continuer.
Safe harbour
eventplanner.net s'engage à ne pas intenter d'action en justice ou à ne pas lancer d'enquête policière contre un chercheur qui signale une vulnérabilité, tant que le chercheur adhère strictement à cette politique.
Il est important de réaliser que si ton enquête de sécurité implique les réseaux, systèmes, données, applications, produits ou services d'une autre entité (autre que nous), cette entité a le pouvoir discrétionnaire de décider de poursuivre ou non des poursuites judiciaires. Nous n'avons pas le pouvoir de sanctionner la recherche sur la sécurité d'autres organisations. Dans le cas où un tiers engagerait des poursuites judiciaires contre toi, et que tu as respecté cette politique, nous prendrons des mesures raisonnables pour divulguer que tes activités étaient conformes à cette politique.
Cette Politique ne peut en aucun cas être considérée comme une incitation au piratage par des tiers.
Comme toujours, tu dois respecter toutes les lois et réglementations applicables.
Avant de participer à toute activité qui pourrait être perçue comme contradictoire ou non traitée par cette politique, merci d'envoyer un rapport à security@eventplanner.net
Essai
Le trafic Web quotidien échangé entre eventplanner.net, nos domaines associés et nos partenaires d'hébergement génère d'immenses volumes de données. Lorsque tu effectues des tests, il nous est utile que tu puisses distinguer ton trafic de test de nos données régulières et des entités externes potentiellement nuisibles. C'est pourquoi nous te demandons de bien vouloir respecter les étapes suivantes pendant ton test :
- Dans la mesure du possible, utilise l'adresse électronique principale que tu utilises pour communiquer avec eventplanner.net pour enregistrer les comptes.
- Merci d'indiquer ton adresse IP dans ton rapport de bogue. Nous t'assurons que ces informations resteront confidentielles et utilisées uniquement pour examiner les journaux liés à ton activité de test.
- Inclus un en-tête HTTP unique dans tout ton trafic. Les proxys comme Burp permettent d'ajouter facilement et automatiquement des en-têtes à toutes les requêtes sortantes. Informe-nous de l'en-tête que tu as mis en place afin que nous puissions l'identifier facilement.
Soumettre un rapport
Si notre équipe de sécurité n'est pas en mesure de reproduire ou de valider un problème, une prime ne peut pas être accordée. Pour améliorer l'efficacité de notre processus de soumission, nous demandons que les soumissions comprennent les éléments suivants :
- Une description détaillée de la vulnérabilité
- Un guide détaillant les étapes nécessaires pour reproduire la vulnérabilité signalée
- Preuve démontrant l'exploitabilité (par exemple, une capture d'écran, une vidéo)
- Impact anticipé sur un autre utilisateur ou sur l'organisation
- Vecteur et score CVSSv3 suggérés (hors modificateurs environnementaux et temporels)
- Liste des URL et paramètres impactés
- Autres URL vulnérables, charges utiles supplémentaires, code de preuve de concept
- Informations sur le navigateur, le système d'exploitation et/ou la version de l'application utilisée lors des tests
Remarque : le non-respect de ces exigences minimales peut entraîner la perte d'une récompense.
Toutes les pièces justificatives et autres pièces jointes doivent être exclusivement stockées dans le rapport que tu soumets. N'héberge pas les fichiers sur des services externes. Merci d'envoyer tous les rapports de sécurité par e-mail, avec pièces jointes, à security@eventplanner.net
Récompenses
Comme indiqué, nous n'appliquons pas de « programme de primes » traditionnel impliquant des récompenses monétaires. Néanmoins, nous avons un profond respect pour les hackers éthiques et le travail inestimable qu'ils entreprennent, nous visons donc à récompenser leurs efforts, malgré notre position de petite entreprise aux ressources limitées. Cela implique que nous ne pouvons garantir aucune récompense fixe, mais nous nous efforçons de récompenser dans les fourchettes stipulées ci-dessous.
Nous catégorisons les bogues en fonction de leur gravité, qui est subjectivement déterminée par eventplanner.net. Si les récompenses sont jugées appropriées, la décision est exclusivement à la discrétion d'eventplanner.net, et ces récompenses, le cas échéant, seront traitées dans un délai de 30 jours. Nous n'offrons généralement pas de récompenses pour les vulnérabilités qui nécessitent des interactions excessivement compliquées ou dont l'impact ou le risque de sécurité est considéré comme minime. S'il existe des preuves d'infractions à la politique, les récompenses peuvent être retenues.
Gravité > Récompense possible, non garantie:
- Critique > € 500
- Élevé > € 150-350
- Moyen > € 50
- Faible > € 0, mais un grand merci
- Informatif > € 0
Hors champ
Certaines vulnérabilités sont considérées comme hors de portée. Ces vulnérabilités hors de portée incluent, mais ne sont pas limitées à :
- Spam
- Output du scanner ou rapports générés par le scanner
- Vulnérabilités de sécurité dans les applications, bibliothèques et sites Web tiers intégrés à eventplanner.net
- Problèmes dont nous avons déjà connaissance ou qui nous ont déjà été signalés
- Problèmes nécessitant une interaction peu probable de l'utilisateur
- Problèmes détectés grâce aux tests automatisés
- Problèmes liés aux protocoles réseaux
- Divulgation de la version du logiciel
- Pages d'erreur verbeuses (sans preuve d'exploitabilité)
- SPF/DKIM/DMARC incomplet/manquant
- Clickjacking/UI redressing
- Utilisation d'une bibliothèque comportant des vulnérabilités connues (sans preuve d'utilisation abusive)
- Attaques physiques
- Redirections ouvertes intentionnelles
- Reflected file download
- Attribut autocomplete dans les formulaires Web
- Divulgation d'informations ne présentant pas de risque significatif
- Vulnérabilités nécessitant de l'ingénierie sociale ou de l'hameçonnage
- Attaques DDoS (attaque par déni de service distribuée)
- Falsification de requêtes intersites avec un impact minimal sur la sécurité
- Injection CSV
- Préoccupations générales relatives aux meilleures pratiques (y compris SSL/TLS)
- Attaques de l'homme du milieu
- Injections d'en-tête d'hôte sans impact spécifique démontrable
- Self-XSS, incluant toute charge utile saisie par la victime
- Connexion/déconnexion CSRF
- CSRF et XSS sans influencer les données sensibles
- Contourner la vérification de l'existence d'un root et d'un jailbreak
- Messages sur les inconvénients de l'utilisation des codes SMS
- Envoi illimité de SMS et d'e-mails
- Problèmes avec les e-mails, SMS ou autres messages
- Informations sur les adresses IP, les enregistrements DNS et les ports ouverts
- Tabnabbing
- Full Path Disclosure
- Problèmes liés au cache-control
- Problèmes hypothétiques sans impact pratique
- attributs des cookies manquants
- Broken link hijacking
- Bogues d'UI/UX et fautes d'orthographe
- Divulgation de bogues dans les logiciels Internet dans les 30 jours suivant leur divulgation
- Problèmes connexes tels que "Même bogue, hôte/domaine différent" ou "Même charge utile, paramètre différent"
- Politiques, en-têtes ou d'autres paramètres
Questions
Pour toute demande relative à notre politique, merci de contacter security@eventplanner.net. Nous apprécions ta coopération.