Signalement responsable

• Vous devez faire preuve de bonne foi pour éviter toute violation de la vie privée ou perturbation des services que nous fournissons. Cela inclut, sans s'y limiter, l'accès non autorisé ou la destruction de données, ainsi que l'interruption ou la dégradation de nos services. Vous devez également respecter toutes les lois et réglementations applicables, y compris celles interdisant l'accès non autorisé aux données.
• Si vous découvrez un problème de sécurité, vous devez l'utiliser uniquement à des fins de test et ne devez pas effectuer de tests en dehors de votre propre compte ou d'un autre compte sans le consentement écrit explicite du propriétaire du compte. Vous devez également prendre en compte tous les risques supplémentaires que le problème de sécurité pourrait poser, tels que le risque de compromettre des données sensibles de l'entreprise ou le compte d'un autre utilisateur.
• Évitez d'exécuter des analyses automatisées.
• Abstenez-vous de tester la sécurité physique des bureaux, employés, équipements, etc. de Trustly.
• Les techniques d'ingénierie sociale (phishing, vishing, etc.) ne sont pas autorisées.
• Ne réalisez pas d'attaques DoS ou DDoS.
• Ne divulguez aucun problème au public ou à un tiers sans l'autorisation explicite de Trustly.
• Nous maintenons une liste de chercheurs en sécurité qui ont soumis des rapports de sécurité valides. La participation à cette liste est facultative. Nous nous réservons le droit de limiter les informations associées à votre nom.

Nous nous intéressons uniquement aux vulnérabilités sur les domaines ou adresses IP appartenant à Trustly Group AB ou Trustly Inc. Vérifiez les enregistrements WHOIS pour vous assurer qu'ils nous appartiennent.

Les exemples suivants sont des types de vulnérabilités toujours hors de portée (cette liste n'est pas exhaustive):

• Codes/pages HTTP 404 ou autres codes/pages HTTP non-200
• Divulgation de bannières sur des services communs/publics
• Divulgation de fichiers ou répertoires publics connus (par exemple, robots.txt)
• Clickjacking et problèmes exploitables uniquement via le clickjacking
• CSRF sur des formulaires accessibles aux utilisateurs anonymes
• CSRF de déconnexion
• Présence de fonctionnalités 'autocomplete' ou 'save password' de l'application ou du navigateur web
• Absence de drapeaux sécurisés/HTTP-only sur des cookies non sensibles
• Méthode HTTP OPTIONS activée
• Énumération de toute adresse @trustly.com
• En-têtes de sécurité HTTP manquants, spécifiquement: (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), e.g.
  a. Strict-Transport-Security
  b. X-Frame-Options
  c. X-XSS-Protection
  d. X-Content-Type-Options
  e. Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
  f. Content-Security-Policy-Report-Only

• Problèmes TLS/SSL tels que BEAST, BREACH, suites de chiffrement faibles, etc.
• Falsification de contenu/injection de texte sans HTML/CSS
• Politiques de mot de passe faibles
• Paramètres de configuration des e-mails tels que DMARC, SPF et DKIM