Vastutustundlik teavitamine

• Peate vältima privaatsusrikkumisi, mis võivad põhjustada meie poolt pakutavate teenuste katkestusi. See hõlmab muu hulgas volitamata juurdepääsu andmetele või nende hävitamist ning meie teenuste katkestamist või halvenemist. Samuti peate järgima kõiki kohaldatavaid seadusi ja määrusi, sealhulgas neid, mis keelavad volitamata juurdepääsu andmetele.
• Kui avastate turvaprobleemi, peate seda kasutama ainult testimise eesmärgil ja te ei tohi testida väljaspool oma kontot ega teisi kontosid ilma konto omaniku selgesõnalise kirjaliku nõusolekuta. Samuti peate arvestama kõigi täiendavate riskidega, mida turvaprobleem võib tekitada, näiteks tundlike ettevõtte andmete või teise kasutaja konto ohtu sattumisega.
• Vältige automatiseeritud skaneeringute tegemist.
• Hoiduge Trustly kontorite, töötajate, seadmete jne füüsilise turvalisuse testimisest.
• Sotsiaalse manipuleerimise tehnikad (andmepüük, veebipõhine andmepüük jne) ei ole lubatud.
• Ärge korraldage DoS- ega DDoS-rünnakuid.
• Ärge avaldage avalikkusele ega kolmandatele isikutele mingeid probleeme ilma Trustly selgesõnalise loata.
• Meil on nimekiri turvauurijatest, kes on esitanud kehtivaid turvaaruandeid. Nimekirjas osalemine on vabatahtlik. Jätame endale õiguse piirata teie nimega seotud teavet.

Meid huvitavad ainult Trustly Group AB või Trustly Inc. omanduses olevate domeenide või IP-aadresside haavatavused. Kontrollige WHOIS-i kirjeid, et veenduda, et need kuuluvad meile.

Järgnevad näited on turvarikkumise tüübid, mis jäävad alati ulatusest välja (see loend ei ole ammendav):

• HTTP 404 koodid/lehed või muud HTTP mitte-200 koodid/lehed
• Sõrmejälgede/ribareklaamide avalikustamine tavalistes/avalikes teenustes
• Teadaolevate avalike failide või kataloogide (nt robots.txt) avalikustamine
• Klõpsukaverdus ja probleemid, mida saab ära kasutada ainult klõpsakaverduse kaudu
• CSRF vormidel, mis on saadaval anonüümsetele kasutajatele
• Väljalogimise veebilehtedeülene võltsimine (logout CSRF)
• Rakenduse või veebibrauseri automaatse täitmise või parooli salvestamise funktsiooni olemasolu
• Turvaliste/ainult HTTP-lippude puudumine mittetundlikel küpsistel
• OPTIONS HTTP meetodi lubamine
• Kõikide @trustly.com aadresside loendamine
• Puuduvad HTTP turvapäised, täpsemalt (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), nt a. Strict-Transport-Security b. X-Frame-Options c. X-XSS-Protection d. X-Content-Type-Options e. Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP f. Content-Security-Policy-Report-Only
• TLS/SSL-i probleemid, näiteks BEAST, BREACH, nõrgad šifrikomplektid jne
• Sisu võltsimine/teksti süstimine ilma HTML/CSS-ita
• Nõrgad paroolipoliitikad
• E-posti konfiguratsiooniseaded, näiteks DMARC, SPF ja DKIM
• See loend ei ole ammendav