Vastuullinen ilmoittaminen haavoittuvuuksista

• Sinun on toimittava hyvässä uskossa ja vältettävä yksityisyyden loukkauksia tai häiriöitä palveluissamme. Tämä sisältää mm. luvattoman pääsyn tietoihin tai niiden tuhoamisen sekä palveluiden keskeyttämisen tai heikentämisen. Noudata myös soveltuvia lakeja ja säädöksiä, erityisesti tietojen luvattoman käytön kieltoja.
• Jos löydät tietoturvaongelman, käytä sitä vain testaukseen. Älä testaa muiden tileillä ilman heidän nimenomaista kirjallista lupaansa. Harkitse myös mahdollisia riskejä, kuten arkaluontoisten yritystietojen tai käyttäjätilien vaarantumista.
• Älä käytä automaattisia skannauksia.
• Älä testaa Trustlyn toimistojen, henkilöstön tai laitteiden fyysistä turvallisuutta.
• Sosiaalisen manipuloinnin menetelmät (esim. phishing, vishing) eivät ole sallittuja.
• Älä tee DoS- tai DDoS-hyökkäyksiä.
• Älä jaa haavoittuvuuksia julkisesti tai kolmansille osapuolille ilman Trustlyn lupaa.
• Pidämme luetteloa tutkijoista, jotka ovat lähettäneet hyväksyttyjä ilmoituksia. Osallistuminen on vapaaehtoista. Voimme rajoittaa nimen yhteyteen liitettyjä tietoja.

Olemme kiinnostuneita vain Trustly Group AB:n tai Trustly Inc:n omistamien verkkotunnusten tai IP-osoitteiden haavoittuvuuksista. Tarkista WHOIS-rekisteristä omistus.

Seuraavat ovat aina rajauksen ulkopuolella (ei kattava lista):

• HTTP 404- tai muut ei-200-sivut
• Julkisten palvelujen bannerien paljastaminen
• Tunnettujen tiedostojen, kuten robots.txt, paljastaminen
• Clickjacking-ongelmat
• CSRF anonyymisti saatavilla olevissa lomakkeissa
• Logout-CSRF
• Automaattinen täyttö tai salasanan tallennus -toiminnot
• Puuttuvat secure-/HTTP-only -liput ei-kriittisissä evästeissä
• OPTIONS HTTP-metodi käytössä
• trustly.com-sähköpostien luettelointi
• Puuttuvat HTTP-turvapäänotsikot (Strict-Transport-Security, X-Frame-Options jne.)
• TLS/SSL-ongelmat kuten BEAST, BREACH
• Sisällön väärentäminen ilman HTML/CSS:ää
• Heikot salasanakäytännöt
• Sähköpostiasetukset kuten DMARC, SPF, DKIM
• Lista ei ole täydellinen.