Så här når du oss
Skicka ett krypterat mejl till security@petanque.life med PGP-nyckeln som publiceras på /security/pgp-key.asc. Om krypterat mejl inte är möjligt, använd kontaktformuläret på petanque.life/security så svarar vi från en verifierbar adress.
Inom scope
- petanque.life och alla *.petanque.life-subdomäner som drivs av Petanque Life
- Mobilapparna "Petanque Life" och "Petanque Life Admin" publicerade under Esi System AB:s utvecklarkonto
- Det publika REST-API:et på api.petanque.life
- Förbunds- och klubbsajter på *.web.petanque.life
Utanför scope
- Egendrift hos förbund som inte drivs av Petanque Life
- Rapporter som kräver fysisk tillgång till en användares enhet
- Volymetriska överbelastningstester
- Iakttagelser begränsade till föråldrade webbläsare, saknade best-practice-headers utan exploit, eller social engineering mot personal
- Tredjepartstjänster vi integrerar med — rapportera dem direkt till leverantören
Vad rapporten ska innehålla
- Tydlig beskrivning av problemet och påverkan
- Reproduktionssteg, förfrågningar och minsta möjliga proof-of-concept
- Påverkad URL, build eller commit-hash om känt
- Om du vill bli krediterad i hall of fame
Vårt åtagande
- Bekräftelse inom 3 arbetsdagar
- Triage-besked inom 10 arbetsdagar
- Statusuppdateringar minst var fjortonde dag fram till åtgärd
- Publik disclosure samordnad med rapportören, normalt när fix är utrullad
Safe harbour
Forskning i god tro som följer denna policy leder inte till rättsliga åtgärder. Läs aldrig eller ändra data som inte är din egen, exfiltrera inte data, och stoppa testet så snart sårbarheten är bekräftad.
Juridiskt
Denna policy upphäver inte straffansvar för handlingar utanför dess scope och ger inte tillstånd till tester mot tredjepartsleverantörer. Rapportera endast mot system du har tillstånd att testa enligt denna policy.
Hall of fame
Vi tackar offentligt forskare som lämnar in giltiga rapporter. Hall of fame finns på /security/hall-of-fame.