GoDaddy
GoDaddy Responsible Disclosure Beleid en Bug Bonus Programma

5 april 2016

GoDaddy Responsible Disclosure Beleid en Bug Bonus Programma

Responsible Disclosure Beleid

GoDaddy steunt de responsible disclosure van veiligheidskwetsbaarheden in onze diensten en op onze website. Om de responsible disclosure van veiligheidskwetsbaarheden te vergemakkelijken, zijn wij overeengekomen dat, ter onzer uitsluitende beoordeling, een disclosure voldoet aan alle richtlijnen van het GoDaddy Bug Bonus Programma, en dat GoDaddy geen burgerrechtelijke of strafrechtelijke juridische maatregelen zal treffen tegen de onthullende partij.

Bug Bonus Programma

GoDaddy biedt monetaire bonussen voor de responsible disclosure van bepaalde in aanmerking komende veiligheidskwetsbaarheden. Ons Bug Bonus Programma werkt als volgt

Omvang dienstverlening

Alleen de webdiensten van www.godaddy.com en sso.godaddy.com vallen binnen het kader van de doelstellingen van het GoDaddy Bug Bonus Programma.

In Aanmerking Komende Kwetsbaarheden

GoDaddy zal een melding accepteren van elke soort kwetsbaarheid die aanzienlijke invloed heeft op de vertrouwelijkheid of integriteit van elke in aanmerking komende GoDaddy dienst. In aanmerking komende kwetsbaarheden behelzen, maar zijn niet beperkt tot:

  • Cross Site Scripting (scripting op meerdere sites, XSS)

  • Verificatie- en autorisatiegebreken

  • Cross Site Request Forgery (CSRF)

  • Remote Code Execution (uitvoering code op afstand)

  • SQL-injectie

  • Directory Traversal

  • Click-jacking

  • Privilege Escalation 

Niet in aanmerking komende kwetsbaarheden

Elk domein dat niet wordt beheerst door www.godaddy.com of sso.godaddy.com valt buiten het bereik van de doelstellingen van het Bug Bonus Programma, evenals alle gehoste content van klanten en programma's en plug-ins van derden.

De volgende handelingen komen niet in aanmerking voor het Bug Bonus Programma en dienen niet te worden getest door onderzoekers die deelnemen aan het programma:

  • Aanvallen van het type DoS, brute force, gebruikeropsomming of DDoS

  • Fysieke aanvallen

  • Phishing-aanvallen

  • Elke bug die afhankelijk is van social engineering

  • CRIME/BEAST-aanvallen

  • Logout CSRF

  • Banner- of versieonthullingen

  • Ontbrekende SPF records

  • Directory listing (tenzij gevoelige informatie gevonden kan worden)

  • Blackhat SEO-technieken

  • Elke bug die afhankelijk is van een ouderwetse browser

GoDaddy accepteert geen meldingen van geautomatiseerde kwetsbaarheidscanners

Bonussen

Alle bonussen worden naar het oordeel van het GoDaddy Bug Bonus Team toegekend, op basis van de ernst van de gemelde kwetsbaarheid. Wanneer een bonus wordt uitgereikt, dan zal het minimumbedrag van de bonus Vijftig Dollar ($50,00) bedragen. Slechts één (1) bonus per veiligheidsbug zal worden uitgereikt. De beloningen zullen aan de eerste onderzoeker worden toegekend die een bepaalde bug op een verantwoorde manier bekendmaakt.

Onderzoeken en Melden:

De veiligheidonderzoeker die een kwetsbaarheid indient, moet vóór indiening de kwetsbaarheid grondig onderzoeken en bevestigen. Alle indieningen moeten het volgende bevatten:

  1. Stappen om de kwetsbaarheid te reproduceren; en

  2. Een duidelijke beschrijving van alle accounts die u in uw melding hebt gebruikt plus de relatie tussen deze accounts.

Volg de procedure in dit artikel van het GoDaddy Help Center om een kwetsbaarheid te melden.

Suggesties voor Correcte Meldingen

  1. Hoe gedetailleerder uw stappen voor het reproduceren van de bug, hoe beter. De beschrijving bevat bij voorkeur elke pagina die u hebt bezocht, de gebruikers-ID's, de aangeklikte links, etc.

  2. Video's en afbeeldingen zijn altijd handig, maar zijn nog handiger als deze worden vergezeld van een beschrijving.

  3. Een exploit code die consequent werkt kan ons helpen om uw kwetsbaarheid sneller te verifiëren.

  4. Alles draait om details!

Geheimhouding:

Alle informatie die u verzamelt over GoDaddy of over werknemers of klanten van GoDaddy (“Vertrouwelijke Informatie”) via het Bug Bonus Programma, moet strikt geheim gehouden worden en mag alleen in verband met het Programma gebruikt worden. U mag kwetsbaarheden alleen openbaarmaken wanneer deze afdoende zijn verholpen en u mag geen Vertrouwelijke Informatie openbaarmaken zonder voorafgaande schriftelijke toestemming van GoDaddy. Als u Vertrouwelijke Informatie niet volgens deze eis openbaar maakt, leidt dit tot in onmiddellijke verwijdering uit het Programma.

Juridisch:

Door deelname aan het Bug Bonus Programma van GoDaddy, erkent u dat de GoDaddy Universele Voorwaarden van de Dienstenovereenkomst en het Privacybeleid hebt gelezen en ermee akkoord gaat.

Uw onderzoek mag geen enkele wet schenden, diensten onderbreken of gegevens in gevaar brengen die niet van uzelf zijn.

U alleen bent verantwoordelijk voor alle van toepassing zijnde belastingen of inhoudingen die voortvloeien uit of betrekking hebben op uw deelname aan het GoDaddy Bug Bonus Programma, inclusief alle beloningen die worden betaald.

GoDaddy mag een derde dienstverlener gebruiken om haar Bug Bonus Programma te beheren. Zo ja, zullen de voorwaarden van de provider van toepassing zijn.

Bug bonussen zullen niet worden toegekend aan individuen of entiteiten die op de VS sanctielijsten vermeld staan, of die zich bevinden in landen of regio's die op de sanctielijsten van de VS staan.

De beslissing om een beloning wel of niet te betalen is geheel naar het oordeel van GoDaddy.

Dit is een discretionair beloningsprogramma. Het programma kan op elk gewenst moment worden geannuleerd.


05-04-16
© 2016 GoDaddy.com, LLC