Investors

Programme de divulgation de récompenses de bogues

EN     |     FR     |     ES

La communauté de recherche sur la sécurité des logiciels fait du Web un endroit meilleur et plus sûr. Nous soutenons leurs efforts de chasse aux bogues avec un programme de primes.

Pour signaler une vulnérabilité, veuillez nous envoyer un e-mail à [email protected]

Vulnérabilités éligibles

Les adresses suivantes entrent actuellement dans le champ d'application du programme :

N.-B.. Tout autre sous-domaine que www. ne sont pas éligibles.

Pour être éligible, un chasseur de bogues doit démontrer une compromission de sécurité sur l'un de ces domaines à l'aide d'un exploit reproductible, notamment :

  • Exploits de scripts intersites
  • Exploits de falsification de requêtes intersites
  • Failles d’authentification ou d’autorisation
  • Applications mobiles ou failles API officielles de Raiiz Innovations
  • Bogues d'exécution de code côté serveur
  • Défauts d'injection
  • Mauvaises configurations de sécurité importantes
  • Systèmes de recommandation et de classement

Les vulnérabilités suivantes ne sont pas éligibles au programme de prime :

N.-B.. Même si certains de ces problèmes peuvent être très pertinents dans d’autres contextes, dans le contexte de Raiiz Innovations, nous avions déterminé qu’ils ne présentaient pas un risque aussi important. Si vous pensez que nous nous trompons, veuillez nous contacter.

  1. Auto-XSS.
  2. Connexion/déconnexion CSRF.
  3. Problème de configuration CSRF sans preuve de concept exploitable. Un cas de preuve de concept CSRF qui nécessite Burp ou un proxy réseau n'est pas valide ou suffisant.
  4. En-têtes de sécurité manquants qui ne conduisent pas directement à une vulnérabilité.
  5. Vulnérabilités dans les composants tiers utilisés sur les sites de Raiiz Innovations, en fonction de la gravité et de l'exploitabilité. Par exemple, nous essayons de nous tenir à jour avec les versions d'OpenSSL, mais tous les problèmes de sécurité n'impactent pas la configuration de Raiiz Innovations.
  6. Bogues qui nécessitent une interaction improbable de l’utilisateur ou du phishing. Cela inclut les problèmes communément appelés détournement de clics ou attaque de réparation de l'interface utilisateur.
  7. Les sociétés nouvellement acquises sont soumises à une période d’interdiction pour nous permettre d’examiner et de tout mettre à jour. Les acquisitions sortant de la période d'interdiction seront ajoutées à la liste de cadrage une fois qu'elles entreront dans le champ d'application. Les bogues signalés plus tôt ne donneront généralement pas droit à une récompense.
  8. Limite de débit sur les e-mails envoyés lors de l'inscription, de la connexion et des confirmations de modification par e-mail.
  9. Limite de taux pour les formules de saisie de données ou de soumissions pour inclusion sur les sites. 
  10. Les liens de connexion par e-mail précédents ne sont pas invalidés dans le cas où plusieurs liens de connexion sont demandés. Tous les liens expirent dans 60 à 120 minutes.
  11. Non déconnecté de l'application native Android lors de la déconnexion de toutes les autres sessions sur le Web. Nous offrons une expérience en lecture seule à l'utilisateur et empêchons la possibilité de publier, de recommander, de répondre, de surligner et d'accéder aux brouillons, aux signets, à l'historique et aux paramètres.
  12. L'utilisation d'un outil d'usurpation d'e-mail pour envoyer un e-mail usurpé comme envoyé à partir d'un domaine Raiiz Innovations envoie un e-mail mais est marqué comme spam, par opposition à l'e-mail qui n'est pas envoyé du tout.
  13. Connexion aux sites de Raiiz Innovations dans plusieurs navigateurs/onglets, ou connexion et déconnexion à plusieurs reprises, créant ainsi de nombreuses sessions utilisateur.
  14. Vaincre le paywall en effaçant les cookies, la navigation privée ou en créant de nouvelles sessions utilisateur.
  15. L’utilisation d’URL contenant des symboles Unicode similaires est également connue sous le nom d’attaques homographes.

 

Règles pour les visiteurs

  • Ne rendez pas le bug public avant qu’il n’ait été corrigé.
  • N’essayez pas d’accéder au compte ou aux données d’un autre utilisateur. Utilisez vos propres comptes de test pour les tests entre comptes.
  • Ne procédez à aucune attaque susceptible de nuire à la fiabilité/intégrité de nos services ou de nos données. Les attaques DDoS/spam ne sont pas autorisées.
  • Testez uniquement les vulnérabilités sur les sites ou les applications exploités par les sites de Raiiz Innovations. Certains sites hébergés sur des sous-domaines des sites de Raiiz Innovations peuvent être exploités par des tiers et ne doivent pas être testés.
  • N'impactez pas les autres utilisateurs avec les tests, cela inclut les tests de vulnérabilités dans les comptes que vous ne possédez pas. Nous pouvons suspendre tout compte Raiiz Innovations et bannir les adresses IP si vous le faites.
  • N'utilisez pas de scanners ou d'outils automatisés pour trouver des vulnérabilités. Ils sont bruyants et nous pouvons suspendre votre compte Raiiz Innovations et bannir votre adresse IP.
  • Aucune attaque non technique telle que l'ingénierie sociale, le phishing ou les attaques physiques contre nos employés, nos utilisateurs ou notre infrastructure.
  • Plus la preuve de concept est approfondie, plus les chances qu'un paiement soit accordé sont élevées.
  • En cas de doute, envoyez un e-mail à [email protected].

Règles pour nous

  • Nous répondrons le plus rapidement possible aux signalements de bugs.
  • Nous vous tiendrons au courant pendant que nous travaillons à corriger le bug que vous avez soumis.
  • Nous n’engagerons aucune action en justice contre vous si vous respectez les règles et agissez de bonne foi.

Récompenses

En fonction de la gravité du bug et de l'exhaustivité de la soumission, que nous déciderons à notre seule discrétion, nous offrons les récompenses minimales suivantes :

  • Exécution de code à distance : 150 $
  • Accès illimité aux systèmes de fichiers ou aux bases de données : 100 $
  • Bogues fuyant ou contournant des contrôles de sécurité importants : 100 $
  • Bugs permettant une manipulation artificielle des systèmes de classement et de recommandation : 50$
  • Exécuter du code sur le client, y compris XSS : 10 $
  • Redirection ouverte : 25 $
  • Autres vulnérabilités de sécurité valides : schwag et reconnaissance sur human.txt.
  • Vulnérabilités aux services auxiliaires ou dépendances tierces : schwag et reconnaissance.

Aspects juridiques et notes finales

Nous traitons uniquement avec des donneurs d'ordre, pas avec des courtiers en vulnérabilités.

Si vous résidez dans un pays qui figure sur une liste de contrôle des exportations restreintes des États-Unis ou du Canada ou si vous êtes sur une liste de recherche criminelle ou une liste de contrôle des exportations restreintes du Canada ou des États-Unis, d'un État ou du gouvernement fédéral, vous n'êtes pas admissible à participer à ce programme.

Nous prendrons la décision finale sur l’éligibilité et la valeur des bogues. Ce programme existe entièrement à notre discrétion et peut être modifié ou annulé à tout moment. Toute modification que nous apportons aux conditions de ces programmes ne s’applique pas rétroactivement. Merci de nous aider à rendre les sites de Raiiz Innovations plus sécurisés.


Raiiz Innovations acknowledge that our operations are situated on the unceded traditional territories of the Indigenous peoples of the Vancouver Lower Mainland of British Columbia. This includes the land of the q́ićəý̓ (Katzie), kʷakʷəkʲəʔwakʷ (Kwakiutl), q́ʷɑ:ńƛ̓əń (Kwantlen), kʷikʷəƛ̓əm (Kwikwetlem), máthxwi (Matsqui), xʷməθkʷəy̓əm (Musqueam), qiqéyt (Qayqayt), se’mya’me (Semiahmoo), Sḵwx̱wú7mesh Úxwumixw (Squamish), scəẃaθən məsteyəxʷ (Tsawwassen), and səlilwətaɬ (Tsleil-Waututh) Nations. We also recognize the Métis Nation and the contributions of Métis peoples in this region.

We are grateful for the opportunity to live and work on this land, and we honor the rich cultural heritage, traditions, and histories of these Indigenous peoples.