Kebijakan Pengungkapan Kerentanan

Socialinsider - produk dari Code Path SRL

Socialinsider berkomitmen menjaga keamanan pengguna dengan melindungi informasi mereka. Kebijakan ini memberikan panduan untuk peneliti keamanan dalam melakukan aktivitas penemuan kerentanan serta instruksi untuk mengirimkan kerentanan kepada kami.

Kebijakan ini menjelaskan sistem dan tipe riset apa saja yang diatur oleh kebijakan ini, cara mengirim laporan kerentanan ke kami, serta berapa lama kami meminta peneliti keamanan menunggu sebelum mengumumkan kerentanan secara publik. Kami dorong kamu untuk menghubungi kami dan melaporkan potensi kerentanan di sistem kami.

Jika kamu berupaya mengikuti kebijakan ini dengan itikad baik selama melakukan riset keamanan, kami akan menganggap risetmu sah. Kami akan bekerja sama denganmu untuk memahami dan menyelesaikan masalah dengan cepat. Socialinsider tidak akan merekomendasikan atau mengambil tindakan hukum atas risetmu. Jika ada pihak ketiga yang melakukan tindakan hukum terhadapmu atas aktivitas yang sesuai dengan kebijakan ini, kami akan memastikan izin ini diketahui.

Panduan

Dalam kebijakan ini, “research” berarti aktivitas di mana kamu sebagai peneliti keamanan:

  • Segera beri tahu kami setelah kamu menemukan masalah keamanan.
  • Usahakan semaksimal mungkin untuk menghindari pelanggaran privasi, penurunan pengalaman pengguna, gangguan pada sistem produksi, serta perusakan atau manipulasi data.
  • Gunakan exploit hanya sebatas perlu untuk mengonfirmasi adanya kerentanan. Jangan gunakan exploit untuk mengkompromikan atau mengambil data, mendapatkan akses command line permanen, atau menggunakan exploit untuk masuk ke sistem lain.
  • Berikan kami waktu yang wajar untuk memperbaiki masalah sebelum kamu mengumumkannya secara publik.
  • Jangan kirim laporan dalam jumlah besar dengan kualitas rendah.

Agar kami dapat memahami laporan, kami sarankan kamu melakukan hal berikut:

  • Jelaskan lokasi di mana kerentanan ditemukan serta potensi dampak dari eksploitasi tersebut.
  • Berikan penjelasan detail tentang langkah-langkah untuk mereproduksi kerentanan tersebut – tangkapan layar atau rekaman video akan sangat membantu.
  • Tulis laporan dalam bahasa Inggris

Jika kamu sudah memastikan adanya kerentanan atau menemukan data sensitif (termasuk informasi pribadi, informasi keuangan, atau informasi kepemilikan atau rahasia dagang pihak mana pun), kamu harus segera menghentikan pengujian, segera beri tahu kami, dan jangan bagikan data ini kepada siapa pun.

Praktik yang dilarang

Metode pengujian berikut tidak diizinkan:

  • Pengujian denial of service (DoS atau DDoS) atau tes lain yang membuat akses ke sistem terganggu
  • Pengujian kerentanan non-teknis

Kebijakan ini berlaku untuk sistem dan layanan berikut:

  • https://www.socialinsider.io
  • https://app.socialinsider.io

Setiap layanan yang tidak disebutkan secara eksplisit di atas, seperti layanan terhubung lainnya, tidak masuk dalam cakupan dan tidak diizinkan untuk pengujian.
Selain itu, kerentanan yang ditemukan di sistem milik vendor kami di luar cakupan kebijakan ini dan harus dilaporkan langsung ke vendor sesuai dengan kebijakan pengungkapan mereka (jika ada).
Jika kamu tidak yakin apakah suatu sistem termasuk dalam cakupan atau tidak, hubungi kami di security@socialinsider.io sebelum memulai penelitian kamu.

Jika ada sistem tertentu di luar cakupan yang menurut kamu perlu diuji, silakan hubungi kami untuk mendiskusikannya terlebih dahulu. Cakupan kebijakan ini dapat diperluas seiring waktu.

Reporting a vulnerability

Information submitted under this policy will be used for defensive purposes only – to mitigate or remediate vulnerabilities.

If your findings include newly discovered vulnerabilities that affect all users of a product or service and not solely Socialinsider, we may share your report with third parties, where it will be handled under their coordinated vulnerability disclosure process.

Kami tidak akan membagikan informasi kontak kamu tanpa izin eksplisit.
Kami menerima laporan kerentanan melalui security@socialinsider.io. Laporan bisa dikirim secara anonim.

Jika kamu memilih membagikan informasi kontak, kami berkomitmen untuk berkoordinasi dengan kamu secara terbuka dan secepat mungkin.

  • Dalam 7 hari kerja, kami akan mengonfirmasi bahwa laporanmu sudah diterima.
  • Kami akan mengonfirmasi keberadaan kerentanan tersebut dan sejujur mungkin menjelaskan langkah-langkah yang kami ambil selama proses perbaikan.
  • Kami akan terus berdiskusi terkait masalah tersebut.