Politique de divulgation des vulnérabilités

Socialinsider - un produit Code Path SRL

Socialinsider s’engage à garantir la sécurité de ses utilisateurs en protégeant leurs informations. Cette politique fournit des directives aux chercheurs en sécurité pour mener des recherches sur les vulnérabilités et indique comment nous soumettre leurs découvertes.

Cette politique précise les systèmes et types de recherches couverts, la façon de nous transmettre les rapports de vulnérabilité et le délai à respecter avant toute divulgation publique. Contacte-nous pour signaler toute vulnérabilité potentielle dans nos systèmes.

Si tu fais des efforts sincères pour respecter cette politique lors de ta recherche en sécurité, nous considérerons ta démarche comme autorisée. Nous collaborerons avec toi pour comprendre et résoudre le problème rapidement, et Socialinsider ne recommandera ni n'engagera de poursuites judiciaires liées à ta recherche. Si une action en justice est intentée par un tiers pour des activités menées conformément à cette politique, nous ferons valoir notre autorisation.

Consignes

Dans le cadre de cette politique, « recherche » désigne les activités dans lesquelles, en tant que chercheur en sécurité, tu :

  • Nous informes dès que possible après avoir découvert un problème de sécurité.
  • Fais tout pour éviter les violations de la vie privée, la dégradation de l’expérience utilisateur, les interruptions de systèmes en production et la destruction ou manipulation de données.
  • N’utilises les exploits que dans la mesure nécessaire pour confirmer la vulnérabilité. N’utilise pas d’exploit pour compromettre ou exfiltrer des données, établir un accès persistant en ligne de commande ou pivoter vers d’autres systèmes.
  • Nous laisses un délai raisonnable pour corriger le problème avant toute divulgation publique.
  • Ne soumets pas un grand nombre de rapports de faible qualité.

Pour nous aider à comprendre les rapports, nous te conseillons de :

  • Décrire l’endroit où la vulnérabilité a été découverte, ainsi que l’impact potentiel de son exploitation.
  • Fournir une description détaillée des étapes nécessaires pour reproduire la vulnérabilité – les captures d’écran ou vidéos sont utiles.
  • Rédiger ta soumission en anglais

Dès que tu découvres une vulnérabilité ou accèdes à des données sensibles (y compris des informations personnelles, financières, propriétaires ou des secrets commerciaux de toute partie), tu dois arrêter immédiatement ton test, nous en informer tout de suite, et ne jamais divulguer ces données à quiconque.

Pratiques interdites

Les méthodes de test suivantes ne sont pas autorisées :

  • Tests de déni de service (DoS ou DDoS) ou tout test nuisant à l'accès aux systèmes
  • Tests de vulnérabilité non techniques

Cette politique s'applique aux systèmes et services suivants :

  • https://www.socialinsider.io
  • https://app.socialinsider.io

Tout service non mentionné ci-dessus, y compris les services connectés, est hors périmètre et n'est pas autorisé pour les tests.
De plus, toute vulnérabilité trouvée sur les systèmes de nos fournisseurs est hors de cette politique et doit être signalée directement au fournisseur selon sa propre politique de divulgation (si elle existe).
Si tu n'es pas sûr du périmètre, contacte-nous à security@socialinsider.io avant de commencer tes recherches.

Si tu penses qu’un système hors périmètre mérite d’être testé, contacte-nous d’abord pour en discuter. Le périmètre de cette politique peut évoluer avec le temps.

Signaler une vulnérabilité

Les informations soumises dans le cadre de cette politique seront utilisées uniquement à des fins de protection – pour limiter ou corriger les vulnérabilités.

Si tes découvertes incluent de nouvelles vulnérabilités qui concernent tous les utilisateurs d’un produit ou service et pas uniquement Socialinsider, nous pouvons partager ton rapport avec des tiers. Leur propre processus de divulgation coordonnée des vulnérabilités s’appliquera alors.

Tes coordonnées ne seront jamais partagées sans ton accord explicite.
Envoie tes rapports de vulnérabilité à security@socialinsider.io. Tu peux aussi envoyer un rapport de façon anonyme.

Si tu choisis de partager tes coordonnées avec nous, nous nous engageons à collaborer avec toi de façon transparente et rapide.

  • En 7 jours ouvrés, nous t’informerons que ton signalement a bien été reçu.
  • Nous confirmerons la vulnérabilité et resterons aussi transparents que possible sur les mesures prises pendant la résolution.
  • Nous maintiendrons un dialogue sur les problèmes.