Signalement d'un problème de sécurité
Si vous découvrez un problème de sécurité ou une vulnérabilité dans un produit ou service Acquia, nous vous demandons de nous le signaler de manière confidentielle.
Divulgation responsable
Chez Acquia, nous prenons la sécurité de nos produits très au sérieux. Nous formons notre personnel aux meilleures pratiques de sécurité et notre processus de développement inclut des étapes d'assurance qualité pour garantir que nos produits soient de haute qualité et sécurisés. Cependant, comme tous les logiciels complexes, il est possible qu'une vulnérabilité de sécurité soit présente dans l'un de nos produits.
Veuillez envoyer les détails par e-mail à notre équipe de sécurité à l'adresse [email protected]. Nous apprécions la divulgation responsable et nous reconnaîtrons les chercheurs en sécurité lorsqu'un problème aura été signalé, en respectant les paramètres suivants.
Acquia n'a actuellement pas de programme de prime aux bogues en place, cependant nous sommes heureux de créditer les chercheurs avec leur nom et un lien vers une adresse de leur choix (par exemple Twitter ou site web personnel) sur notre Tableau d'honneur ci-dessous.
Paramètres et Exclusions
Paramètres
- N'accédez pas aux données d'Acquia ou de ses clients, ne les détruisez pas et n'ayez aucun impact négatif sur celles-ci de quelque manière que ce soit.
- N'utilisez pas de scanners automatisés. (L'utilisation de scanners automatisés peut entraîner des mesures d'investigation et le blocage de votre adresse IP.)
- Vous faites de bonne foi des efforts pour éviter les violations de la vie privée et l'interruption ou la dégradation des services d'Acquia pendant vos recherches. (ex. : déni de service)
- Ne menez aucun type d'attaque physique ou électronique contre le personnel, les bureaux ou les centres de données d'Acquia.
- Vous accordez à Acquia un délai raisonnable pour enquêter sur votre rapport et effectuer toute correction nécessaire.
- Ne violez aucune loi et ne rompez aucun accord préalable.
Exclusions
- Bannières de logiciels serveur affichées ou autres informations de version.
- Messages d'erreur descriptifs.
- En-têtes de sécurité HTTP manquants. ( ex. X-Frame-Options )
- Enregistrements SPF manquants ou incorrects.
- CSRF sur les formulaires disponibles aux utilisateurs anonymes
- Énumération de nom d'utilisateur / email
- Divulgation de fichiers publics connus. (ex. robots.txt)
Acquia n'engagera pas de poursuites judiciaires contre les chercheurs, tant qu'ils respectent ces paramètres. Acquia se réserve le droit de ne créditer que les chercheurs ayant signalé un problème avéré et de gravité suffisante.
Détails de soumission
Veuillez fournir autant de détails pertinents que possible, tels que :
- Comment la vulnérabilité peut être exploitée et l'impact potentiel.
- Comment vous avez découvert la vulnérabilité et les étapes claires pour la reproduire.
- Toute preuve de concept d'attaque et/ou images montrant le vecteur d'attaque.
- Tous correctifs connus ou contrôles pour atténuer la vulnérabilité.
Temple de la Renommée de la Sécurité
Un remerciement particulier aux personnes suivantes qui ont divulgué de manière responsable des vulnérabilités à Acquia dans le passé :
- Harshal Bafna - LinkedIn
- Bharat Adhikari | LinkedIn
- Mohit Kumar - LinkedIn
- Corrie Sloot - LinkedIn
- Ramlal - LinkedIn
- Smriti Chandravanshi - LinkedIn
- S M Tarikul Alam - LinkedIn
- Guillermo Gregorio - LinkedIn
- Gaurang maheta - LinkedIn
- Raghav Khandelwal | LinkedIn
- Tim Koopmans | Twitter
- Mansoor Rangwala | LinkedIn
- Ravi Pavan | LinkedIn
- Rachit Verma | LinkedIn
- Chris Davis | Twitter
- Vincenzo De Naro Papa | Twitter
- Marek Jílek | www.mjilek.cz
- Anshuman Pattnaik | Twitter, hackbotone.com
- Jubin Sharma | Twitter
- Sarvagya Sonkar | LinkedIn
- Naveen kumawat(nvk) | Twitter
- Ausaf Liaquat
- Amjad Kabaha - Facebook
- Prakash Kumar - LinkedIn
- Vishal Panchani (gujjuboy10x00) - Twitter
- Ronak Nahar (naharronak) - LinkedIn
- Chirag Gupta (chiraggupta8769) - LinkedIn
- Shoeb "CaptainFreak" Patel - Twitter
- Gokul Babu (gokul-babu-452b3b112) - LinkedIn
- Suhas Gaikwad (iamsuhasgaikwad) - Twitter
- S.Vijay (cracbaby) - Twintech Solutions - Facebook
- Fabio Pires (fabiopirespt) - Twitter
- Francesco Mifsud (gradiusx) - Twitter
- Cody Zacharias
- Kamil Sevi (kamilsevi) - Twitter
- Emanuel Bronshtein (e3amn2l) - Twitter
- M.R.Vignesh Kumar (vigneshkumarmr) - Twitter
- Prajal Kulkarni
- Himanshu Kumar Das (mehimansu) - Twitter
- Ajay Singh Negi
- Atulkumar Hariba Shedage
- Chiragh Dewan (ChiraghDewan) - Twitter
- Rafay Baloch (rafayhackingarticles.net)
- SimranJeet Singh
- Adam Ziaja (adamziaja.com)
- Piyush Malik (ThePiyushMalik) - Twitter
- Harsha Vardhan
- Wan Ikram (rinakikun) - Twitter
- Krutarth Shukla
- Narendra Bhati (narendradewsoft)- Facebook
- Ahmad Ashraff (yappare) - Twitter
- Tejash Patel & Parveen Yadav
- Joeri Poesen
- Vedachala (vedachalaka) - Twitter
- Sebastian Neef & Tim Schäfers
- internetwache - Twitter
- Vinesh Redkar (AVsecurity.in)
- Samandeep Singh
- Dhaval Chauhan (17haval) - Twitter
- Nitesh Shilpkar
- Umraz Ahmed (umrazahmed) - Twitter
- Ehraz Ahmed (securityexe) - Twitter
- Jigar Thakkar (Infobit Technologies)
- Tushar. R. Kumbhare (Defencely)
- Siddhesh Gawde
- Frans Rosén (www.detectify.com)
- Chirag Paghadal
- Yuji Kosuga (yujikosuga) - Twitter
- Rafael Pablos (silverneox.blogspot.com)
- Reegun Richard Jayapaul (reegun) - LinkedIn
- Nitin Goplani (nitingoplani) - LinkedIn
- Yogesh Modi
- Ali Hassan Ghori
- Turzo Ahmed
- Ashesh Kumar
- Muhammed Gamal Fahmy - Facebook
- Mandeep Singh Jadon
- Kiran Karnad
- Akshay Pandurangi - Facebook
- Somesh Yadav
- Naveen Ramesh
- Omar HAMMOU (https://hackerone.com/xramos)