Allmänna villkor och regler
Catawikis uttalande om ansvarsfullt avslöjande

Tack för att du tar dig tid att delta i vårt program för ansvarsfullt avslöjande. 

På Catawiki anser vi att säkerheten i våra system har högsta prioritet. När vi utvecklar och tillhandahåller våra tjänster har säkerheten en nyckelroll.

Nedan kan du se våra riktlinjer för att skicka in felrapporter av hög kvalitet till Catawiki, vilket gör det möjligt för oss att effektivt ta itu med dem.

De tillgångar vi har kontroll över inkluderar https://www.catawiki.com eller sidor som härrör från inloggning på marknadsplatsen https://www.catawiki.com. Detta inkluderar INTE 3:e parts applikationer som vi använder, men inte kontrollerar direkt. Till exempel alla blogg-, karriär- eller marknadsföringswebbplatser som inte drivs under Catawiki-domänen, eller GCP, eller sårbarheter i molnplattformen.


Vad vi vill att du ska göra

  • Skicka in sårbarheter med CVE-poäng, om de har det, som är tillämpliga på vår webbplats och hur de kan utnyttjas.
  • Skicka med videor och foton i din rapport; de är mycket uppskattade!
  • Skicka exempel där skadliga filer kan laddas upp i vår plattform.
  • Skicka rapporter om sårbara nätverksportar eller tjänster.
  • Skicka sårbarheter där validering, CSRF eller på annat sätt, misslyckas vilket möjliggör kringgående eller undvikande av säkerhetskontroller.


Vad du inte bör göra

  • Skicka inte in sårbarheter som rapporterats av 3:e parts verktyg eller skannrar utan proof of concept som resulterar i utnyttjande.
  • Skicka inte in lösenordssårbarheter som utnyttjas av brute force, ordboksattacker eller på annat sätt gissar lösenord.
  • Försök inte att utföra DDoS eller andra resursuttömmande attacker.
  • Försök inte med skräppostattacker om det inte finns en sårbarhet som innebär att du enkelt kan skicka skräppost.
  • Skicka inte sårbarheter som är kopplade till kontoverifiering eller lösenordspolicy.
  • Skicka inte sårbarheter som är associerade med en Self-XSS-attack.
  • Skicka inte sårbarheter som är associerade med en saknad CAA-post (Certificate Authority Authorization) för ett Catawikis domännamn.

I händelse av att du inte har följt vår uppförandekod ovan förbehåller sig Catawiki rätten att vidta rättsliga åtgärder mot dig. Denna uppförandekod för att meddela säkerhetsbrister på Catawiki lyder under nederländsk lag.

Använd inte heller BugCrowd-plattformen för några frågor eller klagomål relaterade till Catawikis tjänster eller användarmaterial på plattformen. Om du har några frågor eller klagomål som inte är relaterade till säkerhetsrisker i våra system kan du läsa mer i vårt hjälpcenter och kontakta vår kundtjänst om det behövs.

För att delta i vårt program för ansvarsfullt avslöjande måste du logga in på eller registrera ett hackerkonto på BugCrowd.


Dataskydd

Programmet för ansvarsfullt avslöjande lyder under Catawikis integritetspolicy. Observera dock att endast begränsade personuppgifter behandlas för de anmälningar du gör. Catawiki använder sig av BugCrowd för att stödja rapportering av sårbarheter, vilket du kan göra genom att använda dina BugCrowd-uppgifter. Om du har ett konto kommer Catawiki att kunna se ditt användarnamn, men inga andra personuppgifter kopplade till ditt konto. Alla uppgifter som ingår i en sårbarhetsrapport kommer att behandlas i vårt interna ärendehanteringssystem och vara tillgängliga för vårt säkerhetsteam och annan relevant teknisk personal. 

Var den här artikeln hjälpsam?
Kontakta oss