Kebijakan Pengungkapan Kerentanan

Socialinsider - produk dari Code Path SRL

Socialinsider berkomitmen menjaga keamanan pengguna dengan melindungi informasi mereka. Kebijakan ini memberi panduan kepada peneliti keamanan untuk melakukan penemuan kerentanan dan instruksi cara melaporkan kerentanan kepada kami.

Kebijakan ini menjelaskan sistem dan jenis riset yang dicakup, cara mengirim laporan kerentanan kepada kami, serta berapa lama kami meminta peneliti keamanan menunggu sebelum mengumumkan kerentanan secara publik. Kami mendorong kamu untuk menghubungi kami jika menemukan potensi kerentanan di sistem kami.

Jika kamu berusaha sebaik mungkin mematuhi kebijakan ini saat melakukan riset keamanan, kami akan menganggap risetmu sah. Kami akan bekerja sama denganmu untuk memahami dan menyelesaikan masalah dengan cepat. Socialinsider tidak akan merekomendasikan atau mengambil tindakan hukum terkait risetmu. Jika ada pihak ketiga yang mengambil tindakan hukum terhadapmu atas aktivitas yang sesuai dengan kebijakan ini, kami akan menyatakan bahwa kamu telah mendapat otorisasi.

Panduan

Dalam kebijakan ini, “riset” berarti aktivitas di mana kamu sebagai peneliti keamanan:

  • Segera beri tahu kami setelah kamu menemukan isu keamanan.
  • Usahakan semaksimal mungkin untuk menghindari pelanggaran privasi, penurunan pengalaman pengguna, gangguan sistem produksi, serta perusakan atau manipulasi data.
  • Gunakan exploit hanya sebatas untuk memastikan adanya kerentanan. Jangan gunakan exploit untuk membobol atau mengambil data, membuat akses command line yang terus-menerus, atau menggunakan exploit untuk masuk ke sistem lain.
  • Beri kami waktu yang wajar untuk menyelesaikan masalah sebelum kamu mengumumkannya secara publik.
  • Jangan kirim laporan dalam jumlah besar dengan kualitas rendah.

Agar kami bisa memahami laporanmu, kami sarankan pengajuanmu:

  • Jelaskan lokasi temuan kerentanan dan potensi dampaknya jika dieksploitasi.
  • Berikan deskripsi detail tentang langkah-langkah untuk mereproduksi kerentanan tersebut—screenshot atau rekaman video sangat membantu.
  • Tulis laporanmu dalam bahasa Inggris

Jika kamu menemukan adanya kerentanan atau data sensitif (termasuk informasi identitas pribadi, informasi keuangan, informasi milik pribadi, atau rahasia dagang pihak mana pun), segera hentikan pengujianmu, beri tahu kami segera, dan jangan bagikan data ini ke siapa pun.

Praktik yang dilarang

Metode pengujian berikut tidak diizinkan:

  • Pengujian denial of service (DoS atau DDoS) atau pengujian lain yang mengganggu akses ke sistem
  • Pengujian kerentanan non-teknis

Kebijakan ini berlaku untuk sistem dan layanan berikut:

  • https://www.socialinsider.io
  • https://app.socialinsider.io

Setiap layanan yang tidak disebutkan di atas, termasuk layanan terhubung, tidak termasuk dalam cakupan dan tidak diizinkan untuk diuji.
Selain itu, kerentanan yang ditemukan di sistem vendor kami tidak termasuk dalam cakupan kebijakan ini dan harus dilaporkan langsung ke vendor sesuai kebijakan pengungkapan mereka (jika ada).
Jika kamu tidak yakin apakah suatu sistem termasuk dalam cakupan atau tidak, hubungi kami di security@socialinsider.io sebelum memulai riset.

Jika ada sistem tertentu di luar cakupan yang menurut kamu perlu diuji, silakan hubungi kami terlebih dahulu untuk mendiskusikannya. Cakupan kebijakan ini bisa ditingkatkan seiring waktu.

Laporkan kerentanan

Informasi yang kamu kirimkan berdasarkan kebijakan ini hanya digunakan untuk tujuan defensif – untuk mengurangi atau memperbaiki kerentanan.

Jika temuan kamu termasuk kerentanan baru yang memengaruhi semua pengguna suatu produk atau layanan, bukan hanya Socialinsider, kami dapat membagikan laporan kamu ke pihak ketiga, yang akan menanganinya melalui proses pengungkapan kerentanan terkoordinasi mereka.

Kami tidak akan membagikan informasi kontak kamu tanpa izin.
Kami menerima laporan kerentanan melalui security@socialinsider.io. Laporan bisa dikirim secara anonim.

Saat kamu memilih membagikan informasi kontak dengan kami, kami berkomitmen untuk berkoordinasi dengan kamu sejujur dan secepat mungkin.

  • Dalam 7 hari kerja, kami akan mengakui bahwa laporan kamu telah diterima.
  • Kami akan mengonfirmasi adanya kerentanan dan setransparan mungkin tentang langkah yang kami ambil selama proses perbaikan
  • Kami akan terus berdiskusi tentang masalah ini.