Ansvarlig indberetning

Hos Trustly prioriterer vi sikkerheden for vores handlende og forbrugere. Hvis du opdager en sårbarhed, bedes du rapportere den til os, så vi kan håndtere den hurtigt.

Rapportér problem

Hurtige links

Retningslinjer for ansvarlig indberetningSikkerhedsomfangHall of FameRapportér et problem

Retningslinjer for ansvarlig indberetning

  • Du skal gøre en oprigtig indsats for at undgå brud på privatlivets fred eller forstyrrelser i de tjenester, vi leverer. Dette omfatter, men er ikke begrænset til, uautoriseret adgang til eller ødelæggelse af data samt forstyrrelser i vores services. Du skal også overholde gældende love og regler, herunder dem der forbyder uautoriseret adgang til data.
  • Hvis du opdager et sikkerhedsproblem, må du kun bruge det til testformål, og du må ikke teste uden for din egen konto eller en anden konto uden udtrykkeligt skriftligt samtykke fra kontoejeren. Du skal også tage hensyn til eventuelle yderligere risici, som sårbarheden måtte indebære, f.eks. kompromittering af følsomme data eller andre brugeres konti.
  • Undgå at køre automatiserede scanninger.
  • Undlad at teste fysisk sikkerhed på Trustlys kontorer, medarbejdere, udstyr osv.
  • Social engineering (som phishing, vishing mv.) er ikke tilladt.
  • Du må ikke udføre DoS- eller DDoS-angreb.
  • Du må ikke offentliggøre oplysninger om sårbarheder uden udtrykkelig tilladelse fra Trustly.
  • Vi fører en liste over sikkerhedsforskere, der har indsendt gyldige sikkerhedsrapporter. Deltagelse på listen er frivillig. Vi forbeholder os retten til at begrænse de oplysninger, der offentliggøres sammen med dit navn.

Sikkerhedsomfang

Vi er kun interesserede i sårbarheder på domæner eller IP-adresser, der ejes af Trustly Group AB eller Trustly Inc. (kontrollér WHOIS-oplysninger for bekræftelse).

Eksempler på sårbarheder, der altid er uden for omfanget (ikke en udtømmende liste):

  • HTTP 404-sider eller andre HTTP non-200 svar
  • Banner-disclosure/fingerprinting på offentlige tjenester
  • Offentlig kendte filer eller mapper (som robots.txt)
  • Clickjacking uden egentlig sikkerhedsrisiko
  • CSRF på formularer for anonyme brugere
  • Logout CSRF
  • Autofuldførelse/funktioner til at gemme adgangskoder i browsere
  • Manglende sikre flag på ikke-følsomme cookies
  • OPTIONS HTTP-metode aktiveret
  • Enumeration af @trustly.com e-mailadresser
  • Manglende HTTP-sikkerhedsoverskrifter, særligt (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), f.eks. Strict-Transport-Security b. X-Frame-Options c. X-XSS-Protection d. X-Content-Type-Options e. Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP f. Content-Security-Policy-Report-Only osv.
  • TLS/SSL-problemer som BEAST, BREACH, svage cipher suites
  • Content spoofing uden HTML/CSS-indsprøjtning
  • Svage adgangskodepolitikker
  • E-mailkonfigurationer som DMARC, SPF, DKIM
  • (Listen er ikke udtømmende.)

Hall of Fame

Som tak for indsatsen fører vi en Hall of Fame-liste over dem, der har indsendt gyldige sikkerhedsrapporter. Deltagelse er frivillig. Vi værdsætter din tid og indsats for at gøre Trustly endnu mere sikkert.

  • Maara (hackerone.com/maara)
  • Shubham Sanjay Deshmukh (LinkedIn)
  • Zeeshan Khalid (X)
Trustly sign

Har du fundet et sikkerhedsproblem?

Hvis du har fundet en sårbarhed, der er inden for omfanget, og du har overholdt vores retningslinjer for ansvarlig indberetning, bedes du sende rapporten til security@trustly.com.

Vi foretrækker, at du krypterer din rapport med vores offentlige PGP-nøgle, inden du sender den.