In Sonder, uno dei nostri principi fondanti è "Migliorare continuamente", che si traduce direttamente nel nostro programma di sicurezza delle informazioni che consente la protezione dei dati dei nostri ospiti e dei clienti come una priorità assoluta.
Il Sonder Security Team riconosce il ruolo prezioso che i ricercatori di sicurezza e i segnalatori di bug, onesti e indipendenti, svolgono nella sicurezza generale dei sistemi connessi. Di conseguenza, incoraggiamo la segnalazione responsabile di qualsiasi vulnerabilità che potrebbe essere presente nelle nostre proprietà degli ospiti, nell'applicazione mobile o nel sito Web e nei servizi dell'azienda. Sonder si impegna a collaborare con i ricercatori della sicurezza per verificare e affrontare potenziali vulnerabilità che ci vengono segnalate.
Si prega di rivedere questi termini prima di testare e/o segnalare una vulnerabilità a Sonder. Forniremo un porto sicuro ai ricercatori sulla sicurezza purché aderiscano a questa politica e agiscano in buona fede.
Se ritieni che il tuo account possa essere stato compromesso o se sospetti un comportamento fraudolento, non esitare a contattare il team di supporto di Sonder all'indirizzo https://www.sonder.com/help .
Dovrebbero essere adottate tutte le misure possibili per evitare sistemi di produzione e unità ospiti attive durante l'esecuzione di test di vulnerabilità per garantire la sicurezza dei nostri ospiti. Eventuali unità ospiti attive e/o occupate sono rigorosamente off-limits dalle attività di test di vulnerabilità e penetrazione.
Si prega di condividere i dettagli della sospetta vulnerabilità con il Sonder Security Team inviando un'e-mail a [email protected] . Puoi usare la nostra Chiave PGP per crittografare l'e-mail.
Impronta digitale PGP: ABA7 E6FE 70A1 58E3 97E7 ECE9 7441 6D99 D6B3 BA52
La condivisione dei dettagli della vulnerabilità al di fuori del nostro processo di segnalazione formale non è consentita e non comporterà l'accettazione da parte di Sonder della tua segnalazione di vulnerabilità.
Indagheremo su tutte le segnalazioni legittime e faremo ogni sforzo per correggere rapidamente qualsiasi vulnerabilità. Chiediamo in cambio che:
Fornire i dettagli della vulnerabilità, comprese le informazioni necessarie per riprodurre e convalidare la vulnerabilità e un Proof of Concept (POC)
Fare uno sforzo in buona fede per evitare violazioni della privacy, distruzione di dati e interruzione o degrado dei nostri servizi
Concedi al Sonder Security Team un tempo ragionevole per correggere il problema prima di rendere pubbliche le informazioni
Sonder incoraggia la scoperta e la segnalazione responsabili ed etiche delle vulnerabilità. Sono espressamente vietati i seguenti comportamenti
Durante la sperimentazione, attacca solo gli account di prova che controlli. Un PoC che coinvolge inutilmente account di altri ospiti o dipendenti Sonder può essere squalificato. È anche buona norma comunicarci gli account che stai utilizzando per il test anche quando sono sotto il tuo controllo;
Non eseguire scansioni automatiche senza prima verificare con noi;
Non testare la sicurezza fisica di uffici, dipendenti, apparecchiature, partner, fornitori o appaltatori di Sonder;
Non testare utilizzando tecniche di ingegneria sociale (phishing, spear-phishing, pretexting, ecc.);
Non eseguire attacchi DoS o DDoS. Sei il benvenuto e incoraggiato a cercare vulnerabilità che possono essere sfruttate per attacchi DoS o DDoS, semplicemente non vogliamo che tu sfrutti effettivamente il problema al di fuori di un ambiente strettamente controllato;
Non attaccare in alcun modo i nostri utenti finali/ospiti o impegnarsi nel commercio di credenziali utente rubate;
Non accedere o tentare di accedere a dati, informazioni o unità immobiliari fisiche che non ti appartengono;
Non condurre test di vulnerabilità o penetrazione di unità ospiti Sonder occupate, camere d'albergo o edifici;
Non violare alcuna legge applicabile o violare alcun accordo al fine di scoprire vulnerabilità o utilizzare in altro modo mezzi non etici per ottenere accesso e/o informazioni;
Solo il primo giornalista ha diritto a ricevere un premio (fare riferimento alla sezione Riconoscimenti e premi di seguito).
Solo il primo giornalista ha diritto a ricevere un premio (fare riferimento alla sezione Riconoscimenti e premi di seguito).
Tutte le parti delle nostre applicazioni e dei servizi disponibili per i clienti/ospiti rientrano nell'ambito di applicazione e sono il nostro interesse primario. Dai un'occhiata di seguito per gli obiettivi nell'ambito.
Sonder utilizza una serie di fornitori e servizi di terze parti. Il nostro programma di divulgazione non ti dà il permesso di eseguire test di sicurezza sui loro sistemi. Le vulnerabilità nei sistemi di terze parti saranno valutate caso per caso e molto probabilmente non potranno beneficiare di un premio. Sono esclusi i seguenti sistemi di terze parti:
Attacchi diretti contro qualsiasi parte dell'infrastruttura di AWS
Cloudflare
Okta
Le questioni di bassa gravità, puramente teoriche e relative alle migliori pratiche non possono essere presentate. Ecco alcuni esempi:
Messaggi di errore descrittivi (es., tracce dello stack, errori dell'applicazione o del server)
Acquisizioni teoriche di sottodomini senza prove a sostegno
Codici/pagine HTTP 404 o altri codici/pagine HTTP non 200
Perdita di informazioni, fingerprinting/divulgazione banner su servizi comuni/pubblici
Divulgazione di file o directory pubblici noti, (es., robots.txt)
Clickjacking su una pagina pubblica e problemi sfruttabili solo tramite clickjacking
CSRF su moduli disponibili per utenti anonimi (es, il modulo di contatto)
Logout Richieste intersito Falsificazione (logout CSRF)
Presenza della funzionalità di "completamento automatico" o "salvataggio password" dell'applicazione o del browser web
Mancanza di flag Secure/HTTPOnly sui cookie non sensibili
Cookie senza scadenza corretta
Bypass Captcha/Captcha debole
Password dimenticata pagina forza bruta e blocco dell'account non applicato
OPZIONI Metodo HTTP abilitato
Download di file riflessi
Controllo della cache mancante
Attacco all'intestazione dell'host
Elenco delle directory
Intestazioni di sicurezza HTTP mancanti, (in particolare elenco OWASP di intestazioni HTTP utili )
Problemi SSL (BEAST, BREACH, attacco di rinegoziazione, segretezza in avanti non abilitata, cifrature deboli)
Non esegue la limitazione della frequenza sugli endpoint non di accesso
Spoofing dei contenuti
Precaricamento HPKP/HSTS
Esempi generici di attacchi di intestazione Host senza prove della capacità di prendere di mira una vittima remota
Segnalazioni che sfruttano il comportamento o le vulnerabilità in browser obsoleti
Impostazioni SPF, DKIM o DMARC e spoofing e-mail
Script di contenuti misti e Self XSS
EXIF Dati di geolocalizzazione
Apri l'API JSON di WordPress senza exploit
Perdita del token di reimpostazione della password (questo è noto e implementeremo una correzione)
Politica delle password
Chiave API di Google Maps
Nota: eseguire chi è cercare prima di inviare eventuali problemi sui domini trovati da Scanner sottodomini.
Bersaglio | Criticità | Idoneo per il premio |
|---|---|---|
https://www.sonder.com | Critico | Sì |
*.sonder.com | Alto | Sì (fare riferimento alla nota sopra) |
https://apps.apple.com/us/app/sonder-taking-stay-further/id1422914567 | Alto | Sì |
https://play.google.com/store/apps/details?id=com.sonder.mahalo&hl=en_CA&gl=US | Alto | Sì |
Sonder è lieto di ringraziare i ricercatori di sicurezza che inviano segnalazioni di vulnerabilità e ci stanno aiutando a migliorare la nostra posizione di sicurezza generale in Sonder per i nostri dipendenti, clienti e ospiti. Sonder può offrire fino a $ 500 in crediti SonderStays a discrezione di Sonder per nuove scoperte di natura critica.