Haavoittuvuustietojen vastuullinen ilmoittaminen Startselectillä

Oletko huomannut Startselectistä turvallisuuspuutteen?
Kerro siitä meille ennen kuin kerrot siitä julkisesti, jotta voimme ryhtyä toimenpiteisiin. Tätä kutsutaan haavoittuvuustietojen vastuulliseksi ilmoittamiseksi.

Miten toimia:
Ilmoita haavoittuvuudesta meille sähköpostiosoitteeseen security@startselect.com. Tätä sähköpostia voi käyttää vain haavoittuvuuksista ilmoittamiseen.
Löydät asiakaspalvelun osoitteesta: https://startselect.com/help 

Anna meille tarpeeksi tietoa, jotta voimme toisintaa haavoittuvuuden ja siten korjata sen mahdollisimman nopeasti. Tietokoneen IP-osoite tai URL sekä kuvaus haavoittuvuudesta on yleensä riittävä. Mitä monimutkaisempi haavoittuvuus on, sitä enemmän tarvitsemme yksityiskohtia.
Anna yhteystietosi, jotta voimme olla sinuun yhteydessä myöhemmin. Vähintään sähköpostiosoite tai puhelinnumero.
Raportoi haavoittuvuus mahdollisimman nopeasti, kun olet huomannut sen.
Älä kerro haavoittuvuudesta julkisesti ennen kuin se on korjattu.
Käytä hallussasi olevaa tietoa vastuullisesti. Älä tee mitään muuta kuin sellaiset toimet, joiden avulla voit todentaa haavoittuvuuden.

Meillä on oikeus lakata vastaamasta/käsittelemästä antamiasi ilmoituksia. Toimimme näin esimerkiksi silloin, kun saamme sinulta paljon ilmoituksia, jotka eivät päde. Tai silloin, kun ilmoituksesi eivät ole tarpeeksi laadukkaita tai ovat epäselviä tai ylimalkaisia. Emme käsittele ilmoituksia, jos ne on lähetetty jollain muulla kielellä kuin englanniksi.

Miten ei pidä toimia:
Älä lähetä haittaohjelmia.
Älä kopioi, muuta, tai poista kyseessä olevan järjestelmän dataa (vaihtoehtoisesti voit luoda järjestelmästä kansion).
Älä muuta järjestelmää.
Älä vieraile järjestelmässä toistuvasti tai jaa siihen pääsyä muille.
Älä avaa järjestelmää väsytyshyökkäyksellä (brute force).
Älä kokeile palvelunestoa (denial of service) tai käyttäjän manipulointia (social engineering).
Älä käytä automaattisia skannereita tai muita automatisoituja työkaluja.

Mitä odottaa:
Kun ilmoitat haavoittuvuudesta, tarkista, että toimit edellä annettujen ehtojen mukaisesti. Näin toimimalla Startselect ei vaadi ilmoituksesi yhteydessä oikeudellisia seuraamuksia.
Startselect käsittelee saamansa ilmoitukset luottamuksellisesti. Se ei jaa henkilökohtaisia tietojasi kolmansille osapuolille ilman lupaasi, ellei laki tai oikeuden määräys näin vaadi.
Startselect voi halutessasi mainita nimesi haavoittuvuuden löytäjänä.
Startselect lähettää sinulle todistuksen löydöstäsi kolmen arkipäivän kuluessa.
Startselect vastaa ilmoitukseesi kolmen arkipäivän kuluessa. Vastauksessa ilmoituksesi käsitellään ja siinä kerrotaan päivämäärä, jolloin haavoittuvuuden odotetaan olevan korjattu.
Startselect pitää sinut haavoittuvuuden löytäjänä ajan tasalla sen korjausprosessista.
Startselect korjaa haavoittuvuuden mahdollisimman nopeasti, korkeintaan 60 päivän kuluessa ilmoituksen vastaanottamisesta. Startselect määrittelee yhteistyössä kanssasi sen, miten haavoittuvuus julkistetaan tai ei julkisteta. Haavoittuvuutta ei julkisteta ennen kuin se on korjattu.
Startselect voi antaa tunnustuksen antamastasi avusta. Palkkio riippuu haavoittuvuuden vakavuusasteesta ja ilmoituksen laadusta. Startselect päättää itse palkkion antamisesta.

Out-of-scope-haavoittuvuudet:
Käyttäjän manipulointi -hyökkäykset (social engineering), mukaan lukien työntekijöihin kohdistuvat.
Fyysiset hyökkäykset infrastruktuuriin, tiloihin tai toimistoihin.
Skannaamalla saadut tai skannerin generoimat ilmoitukset, mukaan lukien automaattiset tai aktiiviset hyväksikäyttötyökalut.
Mikä tahansa haavoittuvuus, joka on saatu työntekijän tilin murtamisella.
Sähköpostikäytännöt kuten SPF ja DMARC. Roskaposti. Tekaistuilla tai väärennetyillä sähköposteilla tehdyt hyökkäykset.
Verkkohaavoittuvuudet.
Tilin valtaaminen (PLA, käyttäjien luettelointi, jne.).
Clickjacking, login/logout-CSRF.
Sormenjäljen hyödyntäminen, virheilmoituksen ilmoittaminen.
Protokollatason hyökkäykset (esim. BEAST/BREACH).
Security headereiden puute, httponly-flagit, jne.
Tabnabbing.
Välimuisti uloskirjautumisen yhteydessä.
Salasanakäytännöt.

Lue lisää: https://bughunters.google.com/learn/invalid-reports Noudatamme Googlen näkemystä siitä, mitkä kaikki lasketaan haavoittuvuudeksi.

Viimeksi päivitetty: 11. kesäkuuta 2022