Retningslinjer for ansvarlig utlevering Startselect

Har du oppdaget en sikkerhetsfeil hos Startselect?
Vennligst informer oss før du informerer omverdenen, slik at vi kan iverksette tiltak først. Å gjøre det kalles «ansvarlig utlevering».

Hva som må gjøres:
Rapporter en sårbarhet via en e-post til security@startselect.com. Denne e-posten kan kun brukes til sårbarhetsrapporter.
For kundeservice, gå til: https://startselect.com/help 

Oppgi nok informasjon til at vi kan reprodusere feilen slik at den kan rettes opp så snart som mulig. Datamaskinens IP-adresse eller URL og en beskrivelse av sikkerhetsfeilen er i de fleste tilfeller tilstrekkelig. Jo mer komplisert feilen er, jo flere detaljer vil vi kreve.
Legg igjen kontaktinformasjonen din slik at vi kan kontakte deg senere. Minst en e-postadresse eller et telefonnummer.
Rapporter feilen så snart som mulig etter at du har oppdaget den.
Ikke del informasjon om feilen med andre før den er utbedret.
Vær ansvarlig med informasjonen du har. Gjør ingenting utover det som er nødvendig for å demonstrere sikkerhetsfeilen.

Vi har rett til å slutte å svare/behandle én eller flere rapporter fra deg. Et eksempel på dette kan være når vi mottar mange ugyldige rapporter fra deg. Eller når rapportene dine er av utilstrekkelig kvalitet, er uklare eller ikke kan gis flere detaljer. Når vi mottar rapporter på andre språk enn engelsk, vil vi ikke behandle dem.

Dette skal du ikke gjøre:
Sende skadelig programvare;
Kopiere, endre eller slette data i det aktuelle systemet (som et alternativ kan du opprette en katalogliste over systemet);
Endre systemet;
Besøke systemet gjentatte ganger eller dele tilgang med andre;
Bruke «brute force» for å åpne systemet;
Forsøke tjenestenekteangrep eller sosial manipulering.
Bruke automatiserte skannere eller andre automatiserte verktøy

Hva du kan forvente:
Når du rapporterer sikkerhetsfeilen, må du kontrollere at du overholder betingelsene beskrevet ovenfor. Hvis du gjør det, vil ikke Startselect legge noen juridiske konsekvenser til varselet ditt.
Startselect behandler varslene den mottar konfidensielt. Den vil ikke dele dine personopplysninger med tredjeparter uten din tillatelse med mindre det er påkrevd i henhold til lov eller rettskjennelse.
Startselect kan, dersom du ønsker det, nevne navnet ditt som den som oppdaget sikkerhetsfeilen.
Startselect sender deg en bekreftelse på mottak innen tre virkedager.
Startselect vil svare på varselet ditt innen tre virkedager. Svaret inneholder en vurdering av varselet ditt og datoen da det forventer å rette opp feilen.
Startselect vil holde deg – som personen som oppdaget feilen – informert om fremgangen som er gjort med å rette den opp.
Startselect vil rette opp feilen så snart som mulig, og definitivt ikke senere enn 60 dager etter at varselet ble mottatt. Startselect vil samarbeide med deg for å avgjøre om og i så fall hvordan feilen som rapporteres skal offentliggjøres. Feilen vil ikke bli offentliggjort før etter at den er rettet opp.
Startselect kan gi deg en belønning som en bekreftelse på hjelpen din. Avhengig av alvorlighetsgraden av sårbarheten og kvaliteten på rapporten, kan denne belønningen variere. En belønning tildeles utelukkende etter eget skjønn av Startselect.

Sårbarheter utenfor område:
Sosial manipulering-angrep, inkludert de som retter seg mot interne ansatte
Fysiske angrep mot vår infrastruktur, våre fasiliteter og kontorer
Skannerutdata eller skannergenererte rapporter, inkludert ethvert automatisert eller aktivt utnyttelsesverktøy
Enhver sårbarhet oppnådd gjennom kompromittering av kontoen til en ansatt
Retningslinjer for e-post som for eksempel SPF eller DMARC. Søppelpost. Angrep med forfalskede eller falske e-poster
Nettverkssårbarheter
Overtakelse av konto (PLA, brukertelling osv.)
Klikkapring, innlogging/utlogging CSRF
Fingeravtrykk, utlevering av feilmeldinger
Angrep på protokollnivå (f.eks. BEAST/BREACH)
Mangel på direktiver for å konfigurere sikkerhetsforsvar i nettleseren, httponly-flagg osv.
Tabnabbing
Cache etter utlogging
Retningslinjer for passord

Ta også en titt på https://bughunters.google.com/learn/invalid-reports. Vi følger stort sett Googles syn på at disse ikke skal betraktes som sårbarheter.

Sist oppdatert: 11. juni 2022