Avez-vous découvert une faille de sécurité sur Startselect ?
Veuillez nous en informer avant de prévenir le monde entier, afin que nous puissions intervenir d'abord. Ceci s'appelle une « divulgation responsable ».
Que faire :
Faites un rapport sur une vulnérabilité par mail à cette adresse : security@startselect.com. Cet email ne sert que pour les rapports sur une vulnérabilité.
Pour l'assistance clientèle, consultez : https://startselect.com/help
Donnez-nous assez de détails pour nous permettre de reproduire la faille afin que nous puissions y remédier dès que possible. L'adresse IP ou l'URL et une description de la faille de sécurité suffisent habituellement. Plus la faille est compliquée, plus il nous faudra de précisions.
Laissez-nous vos coordonnées afin que nous puissions vous contacter plus tard. Au moins un email ou un numéro de téléphone.
Faites un rapport sur la faille le plus vite possible après l'avoir découverte.
Ne partagez aucune information sur la faille jusqu'à ce qu'elle ait été réglée.
Comportez-vous de façon responsable avec les informations en votre possession. Ne faites rien de plus que ce qui est nécessaire pour faire la démonstration de la faille de sécurité.
Ce qu'il ne faut pas faire :
Envoyer du malware,
Copier, modifier ou effacer des données dans le système concerné (vous pouvez créer un répertoire du système comme alternative),
Modifier le système,
Faire des visites répétées sur le système ou partager l'accès,
Ouvrir le système par « force brute »,
Essayer un déni de service ou de l'ingénierie sociale,
Utiliser des scanners automatiques ou autres outils automatisés,
Ce à quoi vous attendre :
Lorsque vous faites votre rapport sur la faille de sécurité, vérifiez bien que vous respectez les conditions ci-dessus. Ainsi, Startselect ne joindra pas de conséquences légales à votre notification.
Startselect traite les notifications reçues avec confidentialité et ne partagera pas vos coordonnées avec des tiers sans votre permission, sauf en cas de réquisition légale ou de décision judiciaire.
Startselect peut, si vous le souhaitez, mentionner votre nom en disant que vous avez découvert la faille de sécurité.
Startselect vous enverra un accusé de réception dans les trois jours ouvrables.
Startselect répondra à votre notification dans les trois jours ouvrables. Cette réponse contiendra une évaluation de votre notification et la date à laquelle la faille devrait être corrigée.
Startselect vous tiendra au courant (en tant que personne qui a découvert la faille) des progrès de la correction de la faille.
Startselect corrigera la faille dès que possible, et pas plus tard que 60 jours après réception de la notification. Startselect travaillera avec vous pour déterminer si la faille doit être révélée publiquement et, le cas échéant, comment elle doit l'être, mais pas avant qu'elle ne soit corrigée.
Startselect pourra vous récompenser pour vous remercier de votre aide. Selon la sévérité de la vulnérabilité et la qualité du rapport, cette récompense peut varier, et elle n'est accordée qu'à la seule discrétion de Startselect.
Vulnérabilité hors champ :
Attaque par ingénierie sociale, y compris celles visant des employés en interne
Attaques via de faux emails ou des emails falsifiés
Attaques physiques sur notre infrastructure, nos installations ou nos bureaux
Rapports générés par scanner ou par sortie de scanner, y compris tout outil d'exploitation automatisé ou actif
Toute vulnérabilité obtenue en compromettant le compte d'un employé
Vulnérabilités du réseau :
Prise de contrôle de compte (PLA, énumération des utilisateurs, etc.)
Spam
Détournement de clic, connexion/déconnexion CSRF
Empreinte digitale, divulgation de message d'erreur
Attaques protocolaires (ex. BEAST/BREACH)
Manque d'en-têtes de sécurité, drapeaux httponly, etc.
Dernière mise à jour : 16 mai 2022
Apple
Google Play
PlayStation
EA SPORTS FC 24
Xbox
Nintendo
Spotify
Netflix
