Règles

placeB AG exploite différents services (plates-formes, services). Cependant, seuls les services des domaines / URL explicitement listés entrent dans le champ d'application de la politique de divulgation des vulnérabilités. Tous les autres domaines ou services explicitement listés ne sont donc pas éligibles pour une récompense et ne tombent pas sous le coup de l'accord de sphère de sécurité juridique.

En participant à ce programme, les chercheurs en sécurité s'engagent à documenter les informations relatives à toute vulnérabilité trouvée exclusivement via le formulaire de rapport désigné de la plateforme et non à d'autres endroits. Ils acceptent également de garder secrète la vulnérabilité trouvée après l'avoir signalée sur la plateforme. Enfin, ils s'engagent à télécharger sur la plate-forme toutes les données des clients qu'ils ont obtenues dans le cadre du test, à supprimer toute copie locale par la suite et à ne plus les distribuer.

Remarque: il s'agit d'un programme de divulgation de vulnérabilités, aucune prime de détection de bogues n'est versée.

En participant au programme, les chercheurs en sécurité s'engagent à ne pas utiliser de méthodes susceptibles de nuire aux applications testées ou à leurs utilisateurs. Il s'agit notamment de:

• Ingénierie sociale
• Spamming
• Phishing
• Attaques par déni de service ou autres attaques par force brute
• Attaques physiques

Outre les méthodes de piratage interdites énumérées ci-dessus, les chercheurs en sécurité sont tenus d'interrompre immédiatement l'analyse des vulnérabilités s'ils déterminent que leur comportement entraînera une dégradation significative (impact négatif sur les utilisateurs réguliers ou sur l'équipe d'exploitation) des opérations de la plate-forme ou du service.

Certaines parties du service de placeB sont un produit physique.

Si les chercheurs en sécurité remarquent qu'une porte a été ouverte, ils sont tenus de le signaler immédiatement. Pour minimiser les dommages possibles, seuls les points d'extrémité API suivants sont autorisés pour les portes:

open-doors

• https://api.placeb.ch/api/v1/reservations/7449/open-doors/2502
• https://api.placeb.ch/api/v1/reservations/7449/open-doors/2499

open-box

• https://api.placeb.ch/api/v1/reservations/7450/open-box
• https://api.placeb.ch/api/v1/reservations/7450/open-box

Tous les autres points d'aboutissement peuvent être testés indépendamment de l'Id.

Agent utilisateur

Si vos tests d'exécution ajoutent vdp-placeb-ag-nQXAJAvc à l'User-Agent

Création d'utilisateurs, réservation d'une chambre de stockage et formulaire de contact

Les chercheurs en sécurité sont autorisés à créer de nouveaux utilisateurs à des fins de test.

• Si vous créez un nouvel utilisateur, réservez un espace de stockage (ou box) ou utilisez le formulaire de contact, veuillez utiliser le prénom «Bug» et le nom «Hunter».
• Si vous réservez un local de self stockage, veuillez utiliser la localisation Winterthur, Hegmattenstrasse et la catégorie «Quelques boîtes | 1m³».
• Important: les réservations de tests peuvent être annulées par placeB après un jour sans notification.

Tout problème de conception ou de mise en œuvre reproductible et affectant la sécurité peut être signalé.

Exemples typiques:

• Cross Site Request Forgery (CSRF) - Falsification de requête intersite
• Cross Site Scripting (XSS) - Scripting intersite
• Insecure Direct Object Reference - Référence directe d'objet non sécurisée
• Remote Code Execution (RCE) - Exécution de code à distance
• Injection Flaws - Faille d'injection
• Information Leakage an Improper Error Handling - Fuite d'information et mauvaise gestion des erreurs
• Unauthorized access to properties or accounts - Accès non autorisé à des propriétés ou à des comptes

Autres exemples:

• Fuites de données/informations
• Possibilité d'exfiltration de données/informations
• Portes dérobées pouvant être activement exploitées
• Possibilité d'utilisation non autorisée du système
• Mauvaises configurations

Les vulnérabilités et les formes de documentation suivantes ne sont généralement pas souhaitées:

• Attaques nécessitant un accès physique à l'appareil ou au réseau d'un utilisateur
• Utilisation d'une bibliothèque connue pour être vulnérable ou publiquement connue pour être cassée (sauf s'il existe des preuves actives de son exploitabilité)
• Ingénierie sociale ciblant des personnes ou des entités de l'organisation
• Attaques par déni de service (DoS) ou par déni de service distribué (DDoS)
• Bots, spams, inscriptions en masse

Non inclus dans le champ d'application : tous les (sous-)domaines et services qui ne sont pas explicitement mentionnés ne sont pas inclus dans le champ d'application.

A portée de main:

www.placeb.ch

Site web avec processus de réservation, d'achat et de paiement. Les hackers amicaux sont autorisés à créer de nouveaux utilisateurs ou à réserver un espace de stockage pour les tester (conformément aux règles de la section «Règles - Créer des utilisateurs et réserver un espace de stockage»).

api.placeb.ch

Serveur dorsal (en conformité avec les règles de la section «Règles - Partie physique»)

socket.prod.placeB.ch

IOT Gateway Server

Android App

Application Android pour gérer les réservations, le compte et l'accès à la salle de stockage. Google Play Store

iOS App

Application iOS pour gérer les réservations, le compte et l'accès à la salle de stockage. App Store

placeB AG donne son accord pour que les chercheurs en sécurité utilisent des méthodes de piratage basées sur le briefing spécifié. En raison de ce consentement, le critère de la responsabilité pénale de l'obtention/utilisation non autorisée et, par conséquent, la responsabilité pénale des chercheurs en sécurité en ce qui concerne les infractions pénales visées à l'art. 143 du code pénal suisse (obtention non autorisée de données) et de l'art. 143bis du code pénal suisse (accès non autorisé à un système de traitement de données) ne s'applique pas.