ガイドライン
我々はすべての研究者に要求する:
- セキュリティテスト中に、プライバシーの侵害、ユーザーエクスペリエンスの低下、本番システムの混乱、データの破壊を避けるためにあらゆる努力をする。
- 以下の範囲内でのみ調査を行うこと。
- 特定されたコミュニケーションチャネルを使用して、脆弱性情報を当社に報告する。
- 発見した脆弱性に関する情報は、弊社が問題を解決するために30日間を要するまで、お客様とウェグロットの間で秘密にしてください。
私たちに問題を報告する際、あなたがこれらのガイドラインに従うならば、私たちは約束します:
- 研究に関連するいかなる法的措置も追求または支援しないこと
- お客様とともに問題を理解し、迅速に解決する(レポート提出後72時間以内の初期確認を含む)
- あなたが最初に問題を報告し、当社がその問題に基づいてコードや設定を変更した場合、あなたの貢献を当社のセキュリティ研究者の殿堂(建設中)で表彰します。
スコープ
対象外
サードパーティプロバイダおよびサービスによってホストされているサービスは、対象範囲から除外されます。これらのサービスには以下が含まれます:
当社のユーザー、スタッフ、インターネット全体、そしてセキュリティ研究者としてのあなたの安全のために、以下のテストタイプは対象から除外されます:
- オフィスへの出入り(例:開けっ放しドア、尾行)などの物理的検査による所見
- 主にソーシャル・エンジニアリング(フィッシング、ヴィッシングなど)に由来する調査結果
- スコープ」セクションに記載されていないアプリケーションまたはシステムからの調査結果
- UIとUXのバグとスペルミス
- ネットワークレベルのサービス拒否(DoS/DDoS)の脆弱性
私たちが受け取りたくないもの:
- 個人を特定できる情報(PII)
- クレジットカード保有者データ
セキュリティの脆弱性を報告するには?
弊社の製品やプラットフォームにセキュリティの脆弱性を発見された場合は、[email protected] までご連絡ください。
報告書には以下の詳細を明記してください:
- 脆弱性の場所と潜在的影響の説明
- 脆弱性を再現するために必要なステップの詳細な説明(POCスクリプト、スクリーンショット、圧縮されたスクリーンキャプチャはすべて私たちにとって有用です。)
- あなたの名前/ハンドルネームと、私たちの殿堂(建設中)での認知のためのリンク。報酬はありません。
私たちが受け取りたくないもの:
- 個人を特定できる情報(PII)
- クレジットカード保有者データ