Thinking Capital est maintenant DRIVENtm... En savoir plus.
Thinking Capital est maintenant DRIVENtm... En savoir plus.
Thinking Capital est maintenant DRIVENtmEn savoirplus.
Thinking Capital est maintenant DRIVENtmEn savoirplus.

Divulgation responsable de Driven

Driven Financial Technologies Corporation ("Driven") encourage la divulgation responsable de la part des chercheurs en sécurité, des partenaires et des utilisateurs finaux afin d'assurer la sécurité de nos clients. Nous vous encourageons à nous envoyer un courriel à l'adresse bugbounty@driven.ca pour nous informer de toute vulnérabilité suspectée ou confirmée des propriétés web de Driven.

Directives de soumission

  • Si le rapport n'est pas suffisamment détaillé pour reproduire le problème, il ne pourra pas donner lieu à une récompense (voir la section "Récompenses" ci-dessous). Veuillez utiliser le modèle décrit ci-dessous directement dans le corps de l'e-mail.
  • Ne joignez pas de fichiers vidéo ou audio aux courriels de soumission.
  • La présentation d’une sortie de données brutes sans analyse supplémentaire qui en démontre l’incidence n’est pas admissible à une récompense.
  • Soumettez une seule vulnérabilité par rapport, à moins que ce soit un enchaînement de faiblesses qui entraîne l’incidence du problème.
  • Veuillez éviter les violations de la vie privée, la destruction de données et l'interruption ou la dégradation de notre service. N'interagissez qu'avec les comptes que vous possédez ou avec l'autorisation explicite du titulaire du compte.

Portée

  • *.driven.ca

Éléments exclus du champ d’application

  • L’hameçonnage
  • Les tests de pénétration physique
  • Vulnérabilités qui ne dépendent pas directement d'une application, n'ont pas d'impact direct sur l'utilisateur et sont le résultat d'un service tiers (bibliothèques logicielles, frameworks et versions de serveur).
  • Le détournement de clics qui ne mène pas à des actions à caractère confidentiel
  • La falsification de requête intersites (sans authentification, déconnexion, connexion)
  • Les attaques par interposition ou nécessitant l’accès physique à l’appareil de l’utilisateur ou de l’utilisatrice
  • Les vulnérabilités de bibliothèques déjà connues et sans démonstration de faisabilité
  • Les attaques par injection de fichiers CSV sans démonstration de vulnérabilité
  • Les activités pouvant mener à un déni de service (pour ces problèmes, envoyez plutôt une démonstration de faisabilité)
  • L’usurpation ou l’injection de contenu sans montrer de vecteur d’attaque ou sans pouvoir modifier le lien HTML/CSS

Modèle de rapport

Titre:

Coordonnées:

Description:

  • Résumé:
  • Actif:
    • Par exemple, *.driven.ca
  • Vulnérabilité:
    • Contrôle d’accès interrompu
    • Défaillance cryptographique
    • Injection
    • Mauvaise configuration
    • Composant logiciel désuet
    • Défaillance d’intégrité
    • Défaillance de journalisation ou de surveillance
    • Falsification des requêtes côté serveur
    • Corruption de la mémoire
    • Mesure de sécurité poreuse
    • Gestion risquée des ressources
    • Interaction précaire entre les composants
    • Autre
  • Gravité :
    • À titre informatif
    • Faible
    • Moyenne
    • Élevée
    • Extrême
  • Pointage de base du système commun de notation des vulnérabilités (CVSS, version 3.1), en utilisant le calculateur en ligne de NIST https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator) :
    • Vecteur d'attaque
      • Réseau, adjacent, local ou physique
    • Complexité d'attaque
      • Faible ou élevée
    • Droits d’accès requis
      • Aucun, faibles ou élevés
    • Interaction avec les utilisateurs et utilisatrices
      • Aucune ou requise
    • Portée
      • Inchangée ou changée
    • Confidentialité
      • Aucun, faibles ou élevés
    • Intégrité
      • Aucun, faibles ou élevés
    • Disponibilité
      • Aucun, faibles ou élevés
  • Effets sur la sécurité (250 mots) :
  • Étapes requises pour reproduire le problème (préférablement avec des captures d’écran) :

Documents et références supplémentaires :

Politique de divulgation

  • Les vulnérabilités multiples causées par un même problème sous-jacent peuvent faire l’objet d’une seule récompense.
  • Dans le cas de soumissions en double, Driven récompense uniquement le premier rapport qu’elle peut reproduire entièrement.
  • Ne partagez pas d’information à propos des vulnérabilités relevées, quel qu’en soit l’état actuel, à moins d’avoir obtenu le consentement écrit de Driven.
  • Les tests de sécurité et les recherches qui perturbent ou interrompent l’intégrité ou le rendement de la plateforme constituent une violation de la politique d’utilisation acceptable de Driven.

Toute activité menée en conformité avec les exigences de la présente politique est considérée comme une conduite autorisée pour laquelle Driven n’intentera pas d’action judiciaire contre vous.

Réponse aux rapports de sécurité

Si votre soumission respecte la portée et le format décrits ci-dessus, Driven s'efforcera de respecter les délais suivants :

  • Accusé de réception du rapport : 5 jours ouvrables
  • Délai de triage (déterminer la priorité pour reproduire le problème, puis confirmer le résultat) après l’accusé de réception : 15 jours ouvrables

Une réponse automatique suivra pour accuser réception de votre soumission. L'équipe de sécurité informera régulièrement les chercheurs qui ont soumis des propositions valides tout au long du processus, dès qu'il y aura des mises à jour à partager. Veuillez vous abstenir de demander des mises à jour dans les délais indiqués ci-dessus. Les délais pour l'application de correctifs et l'attribution de récompenses monétaires à partir du triage varieront en fonction de la complexité de la soumission et des professionnels de l'entreprise. Driven peut modifier les engagements ci-dessus au fil du temps, en fonction de l'évolution des besoins et des exigences.

Récompenses

Driven remettra une carte-cadeau d’Amazon Canada comme récompense pour une soumission fructueuse, comme elle le détermine et à sa discrétion. Le montant varie de 50 $ CA à 200 $ CA, en fonction de la gravité des vulnérabilités. La récompense doit être acceptée telle quelle. Elle ne peut être convertie en espèces, substituée, transférée à une autre personne, ou remboursée. Elle est assujettie aux modalités de la société émettrice de la carte.

Si Driven est incapable d’attribuer la récompense comme décrite ci-dessus, elle se réserve le droit, à sa discrétion, de remettre une autre récompense de nature similaire et de valeur équivalente.

Driven n’est pas responsable des frais connexes engagés pour recevoir les récompenses, ni de toute réclamation ou perte découlant de l’acceptation ou de l’utilisation de celles-ci. Vous avez l’entière responsabilité de la déclaration et du paiement de tout impôt applicable, s’il y a lieu, relativement à l’obtention d’une récompense.