La sécurité est essentielle pour garder Snipp sûr pour tous, et nous comptons sur les chercheurs pour nous aider à trouver et corriger rapidement les vulnérabilités. Si vous avez découvert un problème de sécurité, nous voulons le savoir. Nous apprécions chaque divulgation responsable, bonne chasse !
Nous n'engagerons jamais de poursuites judiciaires contre quiconque signale des vulnérabilités de bonne foi et respecte les règles de cette page.
Nous nous efforçons d'accuser réception de chaque signalement dans un délai de 48 heures et nous vous tiendrons informé tout au long du processus de résolution.
Selon la gravité et l'impact de votre découverte, vous pourriez être éligible à un badge de profil exclusif et à des mois gratuits de notre abonnement PLUS.
Les chercheurs qui apportent des contributions significatives à la sécurité de Snipp peuvent gagner des badges de profil affichés publiquement sur leur compte.
Attribué pour votre premier signalement de vulnérabilité valide. Récompense les chercheurs qui contribuent à rendre Snipp plus sûr.
Attribué après 3 à 5 signalements exceptionnels ou une seule découverte critique. Réservé aux chercheurs actifs qui mettent au jour les problèmes les plus marquants.
Tous les tests doivent être effectués sur vos propres comptes. N'interagissez jamais avec les données ou les comptes d'autres utilisateurs et ne les affectez jamais.
Seuls les services exploités par Snipp sont dans le périmètre. Les signalements visant des plateformes tierces, même intégrées via notre API, ne seront pas acceptés.
Évitez toute activité susceptible de dégrader nos services ou de compromettre l'intégrité des données, ce qui inclut le brute force, le DoS, le spam et les attaques basées sur la temporisation.
Les outils d'analyse automatisée ne sont pas autorisés. Tous les tests doivent être effectués manuellement.
Nous pouvons temporairement exclure du périmètre certaines catégories de vulnérabilités le temps de les traiter en interne. Tout changement sera reflété sur cette page.
Veuillez garder toutes vos découvertes confidentielles jusqu'à ce que nous ayons pleinement enquêté et résolu le problème.
La divulgation responsable est le meilleur moyen de nous aider à corriger rapidement les problèmes tout en minimisant les risques. Lorsque vous nous faites un signalement directement, nous pouvons commencer à travailler sur un correctif immédiatement, sans exposer la vulnérabilité aux acteurs malveillants.
Les découvertes partagées publiquement avant que nous ayons eu l'occasion de les traiter, que ce soit sur les réseaux sociaux, des forums ou ailleurs, ne seront pas éligibles à la reconnaissance par badge. Nous voulons créditer les personnes qui nous donnent l'occasion de corriger les choses en premier.
Si plusieurs personnes signalent le même problème, nous évaluerons les envois en fonction de :
La clarté de l'explication technique
La façon dont le signalement traduit l'impact concret
L'horodatage de l'envoi
Nous apprécions sincèrement chaque chercheur qui prend le temps de nous aider à rendre Snipp plus sûr.
Avant de soumettre, demandez-vous si le problème présente un scénario d'attaque réaliste et un impact significatif sur la sécurité. Les éléments suivants sont généralement exclus :
Énumération de comptes
Attaques nécessitant un MITM ou un accès physique à l'appareil d'un utilisateur
Clickjacking
Usurpation de contenu et injection de texte
Vulnérabilités CSRF
Enregistrements e-mail SPF, DKIM et DMARC
Absence des attributs de cookie HttpOnly/Secure
En-têtes CORS ouverts
Limitation de débit
Signalements provenant de scanners et d'outils automatisés
Auto-exploitation (comme la réutilisation de jetons et le scripting dans la console)
Attaques d'ingénierie sociale ou de phishing visant les utilisateurs ou le personnel
Les services externes, partenaires et intégrations sont hors du périmètre de ce programme. Seules les vulnérabilités présentes dans les fonctionnalités et API détenues par Snipp sont admissibles. Les signalements doivent démontrer un impact clair sur la sécurité de Snipp lui-même.
Tout scénario dans lequel un attaquant pourrait obtenir les clés API, les jetons de session ou les identifiants d'un autre utilisateur sans recourir à l'ingénierie sociale est considéré comme dans le périmètre.
Les plantages reproductibles du site web causés par une entrée spécialement conçue ou une interaction utilisateur normale sont considérés comme dans le périmètre, à condition qu'ils ne dépendent pas de l'épuisement des ressources, du spam ou d'autres techniques de déni de service.
Les signalements qui dépendent de l'exploitation d'une condition de concurrence nécessitent des preuves supplémentaires pour être acceptés. Veuillez inclure au moins l'un des éléments suivants :
Un script reproductible (Python ou JavaScript de préférence, mais d'autres langages conviennent)
Une explication détaillée couvrant les méthodes HTTP, les points de terminaison et l'ordre exact des requêtes nécessaires pour déclencher la condition
Inclure un script nous permet de vérifier le problème beaucoup plus facilement et accélère le processus d'examen.
Envoyez-nous un e-mail avec une description claire du problème, les étapes pour le reproduire et toute preuve à l'appui. Nous vous répondrons dès que possible.