Op een verantwoorde manier een veiligheidsprobleem melden

Ben je een Etsy member en wil je frauduleuze praktijken, accountgeschillen, of spam rapporteren, maak dan met behulp van de link onderaan de pagina contact op met Etsy Support.

Nep- of phishing e-mails, meld je bij spoof@etsy.com.

Voor professionele beveiligingsonderzoekers

Wat is een geldge bug?

Kwetsbaarheden binnen webtoepassingen zoals XSS, CSRF, SQLi, verificatieproblemen, uitvoering van code-activiteiten op afstand en autorisatieproblemen worden beschouwd als bugs. Het kwetsbare punt moet zich bevinden op de hoofdwebsite van www.etsy.com, de etsy.com API, www.etsystudio.com of de officiële mobiele toepassingen van Etsy.

Systemen die wij niet beheren (waaronder links/doorverwijzingen naar pagina's van derden of CDN's) vallen niet binnen de werkingssfeer van het bug bounty-programma. Jij moet de eerste persoon zijn die de bug op een verantwoorde manier aan ons meldt, jij moet de kwetsbaarheid zelf gevonden hebben en je moet de bug op een verantwoorde manier melden door ons ruim de tijd te geven de kwestie op te lossen voordat je informatie publiekelijk bekendmaakt.

Wat is geen geldige bug?

Hoewel we iedere kwestie per geval beoordelen, zijn de volgende zaken voorbeelden van kwesties die doorgaans niet voldoen aan de vereisten van ons bug bounty-programma:

  • Best practices. We accepteren geen inzendingen die configuratie/beleidsuggesties betreffen.

  • Output van geautomatiseerde tools zonder Proof of Concept. Output die is gekopieerd van websites zoals ssllabs.org of kwetsbaarheidsscanners zonder Proof of Concept bevatten vaak veel "vals-positieven.

  • Beveiligingsrapporten die geen betrekking hebben op etsy.com Als je een rapport instuurt voor een domein dat niet binnen de werkingssfeer van ons bug bounty-programma valt, leggen wij dit terzijde.

  • Fouten die specifiek betrekking hebben op verouderde browsers/plug-ins. Lees meer over up-to-date browsers.

  • Cross-site request forgery bij uitloggen. Meer informatie over dit probleem vind je in blogposts over dit onderwerp van Chris Evans en Michal Zalewski.

  • Ontbreken van Secure Flag bij niet-veiligheidsgevoelige cookies. Wij bieden full site SSL als verdedigingsmechanisme tegen MITM (via HSTS) voor veiligheidsgevoelige sessiecookies. Ga voor meer informatie naar: http://codeascraft.com/2012/10/09/scaling-user-security/.

  • Ontbreken van HTTPOnly Flag bij niet-veiligheidsgevoelige cookies. Voor cookies die wij als veiligheidsgevoelig beschouwen, hanteren wij de HTTPOnly Flag. Het ontbreken van de HTTPOnly Flag bij andere cookies beschouwen wij niet als een kwetsbaarheid.

  • Enumeratie gebruikersnaam door resetten van login of wachtwoord. Hoewel gebruikersnaamenumeratie bij diverse webtoepassingen een kwetsbaarheid kan vormen, is Etsy een openbaar platform en daarom kunnen gebruikersnamen op verschillende manieren worden aangeduid in listings, forumposts, shop etc.

  • CSRF probleem verstuurd met een proof-of-concept dat een gelegenheidswoord bevat. Controleer je inzending om je ervan te verzekeren dat je geen proof-of-concept verstuurd dat een gelegenheidswoord bevat.

Zaken om rekening mee te houden bij het testen

  • Test niet op spam, social engineering of overbelastingsproblemen.

  • Maak vanwege de opzet van ons platform geen gebruik van geautomatiseerde scanners zonder een duidelijk kader. De toepassing van geautomatiseerde scanners op onze volledige site kan resulteren in spam in Forums, Teams en blogcommentaren. Geautomatiseerde scanners kunnen ook spamberichten verzenden en items kopen van legitieme Etsy shops. Vergeet daarnaast niet dat we geautomatiseerde blocking-mechanismes hebben die scanners oppikken, en dit zorgt ervoor dat je een hele dag geen toegang tot onze site krijgt of om met behulp van het bounty-formulier bounties naar ons in te zenden. Het uitvoeren van deze activiteiten belemmert het gebruik van het platform door onze members en druist in tegen de uitgangspunten van ons bounty-programma.

  • Als je berichten wilt testen, maak dan uitsluitend gebruik van specifieke testaccounts en verstuur geen berichten naar legitieme members van de site. Bij het testen van het listingproces, moeten alle testlistings na de tests direct worden verwijderd.

  • Als je listings of andere shopgerelateerde functies wilt testen, zet je je shop in de ontwikkelaarmodus: https://www.etsy.com/developers/shop

  • Wij behouden ons het recht voor om je testaccounts aan te passen of op te schorten als je deze richtlijnen overtreedt.

  • Maak geen buitensporig aantal testaccounts aan en beperk je testtransacties tot kleine geldbedragen (minder dan $1).

Evaluatie bounty-melding

Het Etsy Security team evalueert iedere bounty-melding bij binnenkomst. We ontvangen vaak dubbele meldingen voor kwesties die al in behandeling zijn genomen. Daarom kijken we eerst of jouw probleem al is gerapporteerd.

Als het geen dubbele melding betreft, worden problemen die niet direct worden gediskwalificeerd voor de bounty op basis van bovenstaande criteria (o.a. werkingssfeer, kwesties die niet in aanmerking komen etc.) getest om te kijken of het probleem opnieuw gecreëerd kan worden. Als we het probleem niet opnieuw kunnen creëren, nemen we voor meer informatie via e-mail contact met je op.

We bepalen dan of deze melding daadwerkelijk een veiligheidskwestie betreft die opgelost moet worden, of dat het gaat om een normale functionaliteitsbug.

Als je melding aan bovenstaande criteria voldoet, sturen we je een e-mail om je te laten weten dat we je bounty geaccepteerd hebben en gaan we aan de slag met het vinden van een oplossing voor het probleem.

De bounty

De beloning voor het melden van kwalificerende kwetsbaarheden is de vermelding van je naam op onze bug bounty- pagina en een Etsy Security Team t-shirt! Financiële beloningen verstrekken wij naar eigen inzicht voor uitermate creatieve of ernstige bugs. Als we je tegenkomen op een beveiligingsconferentie vertellen we iedereen over je fantastische prestatie. 

Een kwetsbaarheid melden 

Neem contact met ons op via dit formulier: https://www.etsy.com/bounty 

Meldingen met betrekking tot frauduleuze praktijken, accountgeschillen, of spam maken geen deel uit van ons bug bounty-programma. Met dit soort problemen neem je contact op met het Etsy Support team.

Neem niet direct contact op met Etsy medewerkers over je bounty-inzending. we behouden het recht om op elk moment en om elke reden lidmaatschap van het programma te weigeren of op te zeggen.

Belastingen en beperkingen

Dit programma is niet bedoeld voor minderjarigen, personen die op een sanctielijst staan of personen die gevestigd zijn in landen die op een sanctielijst staan. Jij bent verantwoordelijk voor eventuele fiscale gevolgen of aanvullende beperkingen afhankelijk van je land en de lokale wetgeving.

Etsy behoudt zich het recht voor om dit programma op ieder gewenst moment te beëindigen en het besluit om een beloning te betalen is geheel voorbehouden aan ons. Je mag de wet niet overtreden. Je mag geen diensten belemmeren of gegevens van iemand in gevaar brengen.

We waarderen de inzet van beveiligingsonderzoekers om onze community veilig te houden enorm. De lijst van personen die in het verleden op een verantwoorde manier veiligheidsproblemen hebben gemeld vind je hier.

Was dit artikel nuttig?

Heb je nog vragen?

Neem contact op met Support