Ansvarsfullt avslöjande

På Trustly prioriterar vi säkerheten för våra handlare och användare. Om du upptäcker en säkerhetssårbarhet ber vi dig rapportera den till oss så att vi snabbt kan åtgärda problemet.

Rapportera ett säkerhetsproblem

Snabblänkar

Policy för ansvarsfull rapporteringSäkerhetsomfångHall of FameRapportera ett problem

Policy för ansvarsfull rapportering

  • Du måste agera i god tro för att undvika integritetsintrång eller störningar i de tjänster vi tillhandahåller. Det innefattar – men är inte begränsat till – obehörig åtkomst till eller förstöring av data samt avbrott eller försämring av våra tjänster. Du måste även följa alla tillämpliga lagar och regler, inklusive de som förbjuder obehörig datatillgång.
  • Om du upptäcker ett säkerhetsproblem får du endast använda det i testsyfte och du får inte utföra tester utanför ditt eget konto eller ett annat konto utan uttryckligt skriftligt samtycke från kontoinnehavaren. Du måste också beakta eventuella ytterligare risker som säkerhetsproblemet kan medföra, såsom att känslig företagsdata eller andra användares konton riskerar att komprometteras.
  • Undvik att köra automatiserade skanningar.
  • Avstå från att testa fysisk säkerhet i Trustlys kontor, mot anställda, utrustning etc.
  • Social ingenjörskonst (phishing, vishing osv.) är inte tillåten.
  • Utför inte DoS- eller DDoS-attacker.
  • Avslöja inte något problem offentligt eller till tredje part utan Trustlys uttryckliga tillstånd.
  • Vi har en lista över säkerhetsforskare som rapporterat giltiga säkerhetsproblem. Deltagande på listan är frivilligt. Vi förbehåller oss rätten att begränsa den information som kopplas till ditt namn.

Säkerhetsomfång

Vi är endast intresserade av sårbarheter på domäner eller IP-adresser som ägs av Trustly Group AB eller Trustly Inc. Kontrollera WHOIS-poster för att bekräfta ägarskap.

Följande typer av sårbarheter är alltid utanför omfånget (listan är inte uttömmande):

  • HTTP 404-sidor eller andra HTTP-svarskoder än 200
  • Fingerprinting/banneravslöjande på offentliga tjänster
  • Avslöjande av kända offentliga filer eller kataloger (t.ex. robots.txt)
  • Clickjacking eller problem som endast kan utnyttjas via clickjacking
  • CSRF i formulär som är tillgängliga för anonyma användare
  • Logout CSRF (Cross-Site Request Forgery vid utloggning)
  • Närvaro av "autocomplete" eller "spara lösenord"-funktioner i webbläsaren
  • Saknade Secure-/HTTP-only-flaggor på icke-känsliga cookies
  • OPTIONS HTTP-metod aktiverad
  • Uppräkning av e-postadresser med domänen @trustly.com
  • Saknade HTTP-säkerhetsrubriker, exempelvis:
    a. Strict-Transport-Security
    b. X-Frame-Options
    c. X-XSS-Protection
    d. X-Content-Type-Options
    e. Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    f. Content-Security-Policy-Report-Only
  • TLS/SSL-problem som BEAST, BREACH, svaga chiffer osv.
  • Innehållsförfalskning/textinjektion utan HTML/CSS
  • Svaga lösenordspolicys
  • Inställningar för e-post som DMARC, SPF och DKIM
  • Denna lista är inte uttömmande.

Hall of Fame

Som ett tack för hjälpen underhåller vi en Hall of Fame-lista över personer som skickat in giltiga säkerhetsrapporter. Deltagande är frivilligt. Vi uppskattar din tid och ditt engagemang för att göra Trustly till en ännu säkrare plattform.

  • Maara (hackerone.com/maara)
  • Shubham Sanjay Deshmukh (LinkedIn)
  • Zeeshan Khalid (X)
Trustly sign

Har du hittat ett säkerhetsproblem?

Om du har hittat en sårbarhet som omfattas av vårt säkerhetsomfång och följer vår policy, skicka rapporten till security@trustly.com.

Vi föredrar att du krypterar rapporten med vår publika PGP-nyckel innan du skickar den.