Een kwetsbaarheid melden
Als u gelooft dat u een beveiligingsprobleem in Pikly hebt gevonden, neem dan contact met ons op voordat u het publiekelijk deelt.
What to include
Hoe duidelijker uw verslag is, hoe sneller we de kwestie kunnen valideren en oplossen.
- ✓Een duidelijke beschrijving van de kwestie en de mogelijke gevolgen.
- ✓Stapsgewijze instructies om het probleem te reproduceren.
- ✓De getroffen pagina, app versie, besturingssysteem, browser, apparaat, of functie.
- ✓Screenshots, schermopnames, logs of bewijs van concept wanneer nuttig.
- ✓Alle voorwaarden die nodig zijn om het probleem te activeren, zoals machtigingen, apparaatinstellingen of abonnementstoestand.
Please do not
Testen moet respectvol, beperkt zijn en schade voor Pikly, gebruikers of infrastructuur vermijden.
- ×Toegang, wijzigen, verwijderen, kopiëren of ontmaskeren van gegevens van een andere gebruiker.
- ×Voer denial-of-service, stress, spam, snelheid-limit, of resource-exhaustion testen.
- ×Gebruik social engineering, phishing, fysieke aanvallen, of pogingen tegen Pikly werknemers, gebruikers, of aanbieders.
- ×Installeer malware, blijf toegang, omzeilen betalingssystemen, of verstoren abonnementen.
- ×Openbaar maken van de kwestie voordat we hebben bekeken en had een redelijke gelegenheid om het te behandelen.
Testing scope
Focus op Pikly-owned oppervlakken en functies die u mag gebruiken.
Meestal in het toepassingsgebied
Pikly openbare website pagina's, Pikly mobiele app functies, barcode scan flow, lokale inventaris functies, CSV export gedrag, en toegang tot het abonnement logica.
Meestal buiten het toepassingsgebied
platforms van derden, zoals Apple, Google, betalingsproviders, hostingproviders, e-mailproviders, en problemen die schadelijke of grote hoeveelheden testen vereisen.
Ons beoordelingsproces
We streven ernaar om rapporten zorgvuldig en evenredig te behandelen op basis van ernst en reproduceerbaarheid.
Receive
Wij beoordelen uw rapport en kunnen om aanvullende details vragen indien nodig.
Validate
We proberen het probleem te reproduceren, risico's te beoordelen en de sanering prioriteit te geven.
Fix
We werken waar nodig aan een correctie, mitigatie, configuratiewijziging of gebruikersupdate.
Coordinate
Wij vragen u om elke onthulling met ons te coördineren zodat gebruikers eerst beschermd worden.
Onderzoek naar goed vertrouwen
Wij waarderen verantwoord veiligheidsonderzoek dat deze richtlijnen volgt.
Als u te goeder trouw handelt, privacyschendingen vermijdt, verstoring van de dienstverlening vermijdt en ons een redelijke kans geeft om het probleem op te lossen voordat het openbaar wordt gemaakt, zullen we geen opzettelijke juridische actie tegen u ondernemen voor het onderzoek zelf. Dit staat geen illegale activiteit toe, toegang tot systemen van derden, afpersing, bedreigingen, gegevensexfiltratie, of acties die gebruikers of infrastructuur schaden.
Pikly werkt momenteel niet een betaalde bug premie programma. Indiening van een verslag garandeert geen compensatie, krediet of publieke erkenning.
Contact
Voor beveiligingsrapporten, gebruik [email protected]. Voor privacyvragen, bekijk het Privacybeleid of neem contact met ons op via hetzelfde adres.
E-mailsubject voorgesteld
Security Report for Pikly