Responsible disclosure
För Svenska Postkodlotteriet är våra kunder, och därmed även säkerheten för våra system, prioriterade. Om du tror dig inneha information om omständighet som kan påverka säkerheten i våra system tar vi tacksamt emot den. Lämna informationen via vårt Responsible Disclosure Report-system. Du finner en länk till systemet längst ner på denna sida.
Tänk på att:
- Rapportera informationen skyndsamt för att förhindra att obehöriga utnyttjar informationen.
- Rapportera på ett säkert sätt som hemlighåller innehållet i rapporten, för att minimera risken att andra får tillgång till informationen innan ett eventuellt problem är löst.
- Delge tillräcklig information för att reproducera problemet så att vi har möjlighet att lösa det. Normalt räcker det att ange IP-adressen eller URL för berört system och en beskrivning av problemet. Komplexa sårbarheter kan dock kräva ytterligare information.
Det är inte tillåtet att:
- dela informationen med andra innan problemet har blivit löst.
- kopiera, modifiera eller radera data i våra system.
- använda överbelastningsmetoder (DDOS, DOS), systematisk gissning av lösenord (s k brute force), social manipulation, skräppost eller applikationer från tredje part för att få tillgång till systemet.
- missbruka information om det eventuella problemet. Missbrukas informationen kan vi behöva vidta legala åtgärder.
Vårt löfte till dig:
- Vi återkommer till dig inom fem arbetsdagar med en utvärdering och förväntat datum för åtgärd. Vi kommer att hålla dig informerad om hur ärendet fortlöper.
- Om du har följt ovan riktlinjer kommer vi inte att vidta legala åtgärder mot dig avseende din rapportering.
- Du får vara anonym eller använda pseudonym när du rapporterar.
- Om du väljer att uppge ditt namn kommer vi inte att vidarebefordra dina personuppgifter till tredje part om det inte är nödvändigt enligt lag.
- Du har möjlighet att avböja publicering av ditt namn vid publicering av information avseende rapporterat problem.
- Vi strävar efter att lösa alla problem så snart möjligt och vill vara avsändare vid eventuell kommunikation kring problemet.
Sårbar information:
Vi definierar sårbar information enligt följande: sårbarheter i web applikation såsom XSS, XXE, CSRF, SQLi, Local/ Remote File Inclusion, autentiseringsproblem, fjärrkörning av kod, behörighetsproblem, eskalering av privilegier. Dessa sårbarheter måste ha en påverkan på web applikationens säkerhet och innebära en ökad risk för våra kunder. För att du exempelvis ska namnges vid eventuell kommunikation kring problemet måste du vara den första person som på ett ansvarsfullt sätt uppmärksammar oss på sårbarheten.
Varje bidrag kommer att utvärderas från fall till fall. Nedan följer några problem som inte utgör en sårbarhet för säkerheten.
- Rapport om gammal mjukvara
- Avsaknad av ”best practice”
- Använda komponenter med känd sårbarhet utan relevant POC attack
- Automatiserade verktygsskanningsrapporter. Exempel: Web, SSL/ TLS-skanning, Nmap-scanningsresultat etc.
- Self-XSS och XSS som endast påverkar föråldrade webbläsares UI och UX-buggar samt stavfel.
- TLS/ SSL-relaterade problem
- SPF, DMARC, DKIM konfigurationer
- Sårbarheter på grund av föråldrade webbläsare eller plugins
- Content Security Policies (CSP)
- Sårbarheter i livscykelprodukter
- Avsaknad av säker flagga på cookies
- Uppräkning av användarnamn
- Sårbarheter som bygger på förekomsten av plugins såsom Flash
- Brister som påverkar användare av föråldrade webbläsare och plugins
- Avsaknad av säkerhetsrubriker, såsom men inte begränsat till "content-type-options", "X-XSS-Protection"
- Avsaknad av CAPTCHAs som säkerhetsskyddsmekanism
- Problem som involverar en skadligt installerad applikation på enheten
- Sårbarheter som kräver en ”jailbroken device”
- Sårbarheter som kräver fysisk åtkomst till mobila enheter
- Användning av ett känt och sårbart bibliotek utan bevis för exploaterbarhet
- Click/Tap-jacking och UI-redressing attacker som innebär att du lurar användaren att klicka i ett UI användargränssnitt
- Host header och banner grabbing problem
- Denial of Service attacker och Distributed Denial of Service attacker
- Rate limiting och brute force attack
- Logga in/ logga ut/ CSRF med låg affärsrisk
- Session fixation och session timeout
- Formulär/ CSV-injektion
Övrig information:
- Ekonomisk ersättning för information enligt ovan utgår inte.
Tack för ditt bidrag.