Divulguation de façon responsable de vulnérabilités de sécurité

Si vous êtes un membre Etsy qui souhaitez signaler une activité liée à la fraude, un conflit de compte ou un spam, veuillez contacter l'assistance Etsy en cliquant sur le lien au bas de cette page.

Pour signaler un faux courrier électronique ou un email de hameçonnage, veuillez contacter l'adresse spoof@etsy.com.

Pour les chercheurs professionnels en sécurité

Qu'est-ce qu'un bogue valide ?

Les vulnérabilités d'applications Web telles que XSS, CSRF, SQLi, les problèmes d'authentification, l'exécution de code à distance et les problèmes d'autorisation sont considérés comme des bogues valides. La vulnérabilité doit résider dans le site www.etsy.com principal, l'API etsy.com, www.etsystudio.com ou les applications mobiles Etsy officielles.

Notez que les systèmes que nous ne contrôlons pas (tels que les liens/redirections vers des sites tiers ou CDN) sont exclus de la portée de la prime. Vous devez être la première personne à divulguer le bogue de façon responsable, vous devez avoir trouvé la vulnérabilité vous-même et vous devez respecter des principes de divulgation responsable afin de nous donner un délai raisonnable pour résoudre le problème avant de rendre l'information publique.

Qu'est-ce qui n'est pas un bogue valide ?

Bien que nous examinions chaque soumission au cas par cas, voici quelques-uns des problèmes qui ne répondent généralement pas aux exigences de notre programme de primes :

  • Pratiques d'excellence. Nous n'acceptons pas les soumissions qui sont simplement des suggestions de configuration/règlement.

  • Sortie d'outils automatisés sans preuve de concept. Une sortie qui est copiée à partir de sites Web comme ssllabs.org ou de scanners de vulnérabilité sans preuve de concept contiennent généralement beaucoup de faux positifs.

  • Rapports de sécurité qui ne concernent pas etsy.com. Si vous envoyez un rapport concernant un domaine qui n'est pas couvert par le programme de primes, nous l'ignorerons.

  • Défauts spécifiques à des navigateurs/plugins périmés. En savoir plus sur l'utilisation d'un navigateur à jour.

  • Fausse demande de déconnexion inter-site. Pour plus d'informations sur ce problème, veuillez consulter les articles sur le sujet par Chris Evans et Michal Zalewski.

  • Drapeau Manque de sécurité sur les cookies non sensibles. Nous fournissons une fonction SSL complète de site en tant que mécanisme de défense contre MITM (via HSTS) pour les cookies de session sensibles. Plus d'informations à ce sujet sont disponibles ici : http://codeascraft.com/2012/10/09/scaling-user-security/.

  • Manque de drapeau HTTPOnly sur les cookies non sensibles. Nous avons défini le drapeau HTTPOnly sur des cookies que nous estimons être sensibles et nous ne considérons pas le manque du drapeau HTTPOnly sur d'autres cookies comme une vulnérabilité.

  • Enumération de noms d'utilisateur au travers de réinitialisation de connexion ou mot de passe. Bien que l'énumération de noms d'utilisateurs puisse être une vulnérabilité dans un certain nombre d'applications Web, Etsy est un marché public et ces noms d'utilisateur peuvent être énumérés par conception d'un certain nombre de façons, y compris fiches produits, messages de forum, boutiques, etc.

  • Problème CSRF soumis avec une preuve de concept contenant un faux positif. Vérifiez soigneusement votre soumission pour vous assurer que vous ne nous envoyez pas une preuve de concept contenant un faux positif.

Choses à savoir lors de tout essai

  • Veuillez ne pas tester les problèmes de spam, d'ingénierie de réseaux sociaux ou de déni de service.

  • En raison de la nature de notre marché, n'utilisez pas de scanners automatisés sans portée limitée. Le fait d'exécuter des scanners automatisés sur l'ensemble du site peut générer du spam dans les forums, les équipes et les commentaires de blog. Les scanners automatisés peuvent également envoyer des conversations de spam et acheter des articles dans des boutiques Etsy légitimes. De plus, notez que nous avons mis en place des mécanismes de blocage automatisés pour capturer des scanners, ce qui vous empêchera d'accéder au site ou de nous soumettre des primes en utilisant le formulaire de soumission pendant une journée complète. L'exécution de ces actions nuit à l'utilisation du marché par nos membres et est contraire à l'esprit de notre programme de primes.

  • Si vous souhaitez tester des conversations, utilisez uniquement des comptes de test dédiés et ne signalez pas de membres légitimes du site. En cas de test du processus de fiches produits, toutes les fiches produits de test doivent être retirées immédiatement après le test.

  • Si vous souhaitez tester des fiches produits ou d'autres fonctionnalités liées aux boutiques, veuillez placer votre boutique en mode développeur : https://www.etsy.com/developers/shop.

  • Nous nous réservons le droit de désactiver et/ou d'interdire vos comptes de test si vous êtes pris en violation de ces directives.

  • Veuillez ne pas créer un nombre excessif de comptes pour les tests, et veuillez limiter vos transactions de test à de petits montants monétaires (inférieurs à 1 $).

Evaluation des rapports de prime

L'équipe Sécurité d'Etsy évalue chaque rapport de prime au fur et à mesure de son arrivée. Dans la mesure où nous recevons souvent des rapports en double concernant des problèmes en attente de correction, nous examinons d'abord si votre problème a déjà été signalé.

S'il ne s'agit pas d'un doublon de rapport, les problèmes qui ne sont pas immédiatement disqualifiés pour la prime en fonction des critères ci-dessus (tels que portée, problèmes non admissibles, etc.) sont testés pour voir si le problème peut être recréé. Si nous ne pouvons pas recréer le problème, nous vous contacterons par email pour plus de détails.

Nous déterminons ensuite si ce rapport constitue un problème de sécurité réel qui doit être corrigé, par opposition à un problème de fonctionnalité normal.

Si votre rapport répond aux critères ci-dessus, nous vous enverrons un email afin de vous informer que nous avons accepté votre prime et que nous allons commencer à corriger ce problème.

La prime

La récompense pour un signalement de vulnérabilités éligibles est votre nom sur notre page de prime pour bogue et un T-shirt de l'équipe Sécurité d'Etsy ! Les récompenses en argent sont à notre discrétion pour les bogues nettement créatifs ou sévères. Si nous vous rencontrons lors d'une conférence relative à la sécurité, nous nous prosternerons et saluerons votre génie. 

Divulgation d'une vulnérabilité 

Veuillez nous contacter en utilisant ce formulaire : https://www.etsy.com/bounty

Veuillez noter que les rapports signalant une activité liée à la fraude, un conflit de compte ou un spam ne font pas partie du programme de prime pour bogue. Pour ces types de problèmes, contactez l'assistance Etsy.

Ne contactez pas directement les employés de Etsy en ce qui concerne votre soumission de primes. Nous nous réservons le droit de refuser ou de révoquer l'adhésion au programme à tout moment pour quelque raison que ce soit.

Taxes et restrictions

Ce programme n'est pas ouvert aux mineurs, aux individus inscrits sur des listes de sanctions ou aux individus dans des pays sur des listes de sanctions. Vous êtes responsable de toute incidence fiscale ou de restrictions supplémentaires en fonction de votre pays et de la législation locale.

Nous nous réservons le droit d'annuler ce programme à tout moment et la décision de payer une récompense est entièrement à notre discrétion. Vous ne devez enfreindre aucune loi. Vous ne devez pas non plus perturber un service ou compromettre des données de quiconque.

Nous apprécions sincèrement les efforts déployés par les chercheurs en sécurité pour maintenir notre collectivité en sécurité. La liste des personnes qui ont révélé de manière responsable des vulnérabilités dans le passé peut être trouvée ici.

Cet article vous a-t-il été utile ?

Vous avez encore des questions ?

Contacter l’équipe d’assistance