RGF Staffing Belgium NV - Politique de Divulgation Responsable des Vulnérabilités
Définitions
- "Nous" ou "Notre" : RGF Staffing Belgium NV ayant son siège social à Anvers, Frankrijklei 101, RPR Antwerpen, avec le numéro d'entreprise 0461.127.904 et toutes les entreprises associées à RGF Staffing Belgium.
- Entreprises Associées : les entreprises affiliées directement et indirectement avec le Contractant ou le Principal, respectivement, au sens de l'article 1:20 du Code des Sociétés et Associations.
- "Vous" : chaque utilisateur de cette Politique.
- Chercheurs en Sécurité : Les chercheurs en sécurité désignent les individus ou les organisations qui, de bonne foi et par des moyens éthiques, s'engagent dans l'identification, l'analyse et le signalement des vulnérabilités potentielles de sécurité dans les systèmes, applications ou réseaux. Ces chercheurs opèrent avec l'intention d'améliorer la sécurité et l'intégrité globales de l'infrastructure numérique en divulguant de manière responsable les vulnérabilités découvertes aux parties appropriées pour remédiation, tout en respectant les lois applicables et les meilleures pratiques en matière de divulgation responsable.
- Politique : cette Politique de Divulgation Responsable des Vulnérabilités.
Cette politique est destinée aux chercheurs en sécurité qui souhaitent signaler des vulnérabilités potentielles de sécurité à l'équipe de sécurité de RGF Staffing Belgium.
Cette politique n'est PAS destinée aux utilisateurs (candidats RH ou clients RH) qui ont des questions liées à la sécurité ou qui rencontrent des problèmes avec leur mot de passe ou leur compte.
Pour les candidats RH :
Si vous êtes un candidat ayant une question liée à la sécurité ou rencontrant des problèmes avec votre mot de passe ou votre compte, veuillez contacter directement le bureau où vous êtes enregistré. Les coordonnées se trouvent sur les sites web de nos marques associées.
Pour les clients RH :
Si vous êtes un client ayant des préoccupations concernant la sécurité ou ayant besoin d'aide avec votre mot de passe ou votre compte, veuillez utiliser les canaux de support désignés fournis avec votre produit ou service.
Portée
Cette politique couvre tous les services, produits ou propriétés web de RGF Staffing Belgium.
Veuillez noter ! La plupart des rapports que nous recevons ont peu ou pas d'impact sur la sécurité ou sont déjà connus. Pour éviter une expérience décevante lorsque vous nous contactez, veuillez prendre un moment pour considérer si le problème que vous souhaitez signaler a réellement un scénario d'attaque réaliste.
Plus précisément, nous vous demandons de ne pas soumettre de problèmes concernant :
- Tous les empoisonnements de cache XSS / X-Forwarded-Prefix+ & Stored Cross-Site Scripting.
- Tout ce qui concerne le spoofing d'email, SPF, DMARC ou DKIM.
- Divulgation de clé API sans impact commercial prouvé.
- Téléchargement de fichiers arbitraires sans preuve de l'existence du fichier téléchargé.
- Récupération de bannière / Divulgation de version.
- Violations des bonnes pratiques (complexité des mots de passe, expiration, réutilisation, etc.).
- SSRF aveugle sans impact commercial prouvé (les pingbacks ne sont pas suffisants).
- Contournement des limites de débit ou inexistence de limites de débit.
- Clickjacking.
- Injection de contenu sans pouvoir modifier le HTML.
- Usurpation de contenu et problèmes d'injection de texte sans montrer de vecteur d'attaque / sans pouvoir modifier le HTML/CSS.
- Mauvaise configuration de CORS sur des points de terminaison non sensibles.
- Cross-Site Request Forgery (CSRF).
- Injection CSV.
- Injection CSV/formule.
- Déni de service.
- Clés API Google Maps divulguées / mal configurées.
- Bombardement de messagerie.
- Certificats SSL expirés, Ciphers SSL faibles ou problèmes concernant les anciennes versions de TLS/SSL.
- Résultats d'outils automatisés sans fournir de preuve de concept.
- Exploits basés sur Flash.
- Divulgation de clé API Google Maps.
- Attaques homographes.
- Host header injection, sauf si vous avez confirmé qu'elle peut être exploitée dans une attaque pratique.
- Dissimulation de requêtes HTTP sans impact prouvé.
- Indicateurs de cookies manquants.
- Absence de bonnes pratiques en matière d’email (enregistrements SPF/DKIM/DMARC invalides, incomplets ou manquants, etc.).
- En-têtes HTTP liés à la sécurité manquants ou faibles.
- En-têtes de sécurité manquants.
- Divulgation de données non sensibles, par exemple des bannières de version de serveur.
- Ne pas supprimer les métadonnées des fichiers.
- Prise de contrôle de compte pré-authentification / OAuth squatting.
- Présence de l'attribut autocomplete sur les formulaires web.
- Logiciels ou bibliothèques vulnérables déjà connus sans preuve de concept fonctionnelle.
- Problèmes de limitation de débit ou de force brute sur les points de terminaison sans authentification
- Reverse tabnabbing.
- Same-site scripting.
- Self-XSS qui ne peut pas être utilisé pour exploiter d'autres utilisateurs.
- Sessions non invalidées (déconnexion, activation de 2FA, etc.).
- Prise de contrôle d'un sous-domaine sans prendre le contrôle du sous-domaine.
- Vulnérabilités théoriques sans aucune preuve ou démonstration de la présence réelle de la vulnérabilité.
- Jetons divulgués à des tiers.
- Énumération de noms d'utilisateur / emails.
- Messages détaillés / fichiers / listes de répertoires sans divulguer d'informations sensibles.
- Vulnérabilités nécessitant une attaque MITM ou un accès physique au navigateur d'un utilisateur, à un smartphone ou à un compte email, ainsi que des problèmes sur des smartphones rootés ou jailbreakés.
- Divulgation de noms d'utilisateur Wordpress.
- XMLRPC activé.
Lorsque des doublons se produisent, nous n'acceptons que le premier rapport. Un doublon est une vulnérabilité dont nous sommes déjà conscients, quelle que soit la manière dont nous en avons pris connaissance pour la première fois (elle peut également avoir été découverte par nous en interne).
Nos Engagements
Lorsque vous collaborez avec nous dans le cadre de cette politique, vous pouvez vous attendre à ce qui suit de notre part :
- Safe Harbor : Nous offrirons des protections Safe Harbor pour toute recherche de vulnérabilité menée conformément à cette Politique.
- Communication rapide : Nous travaillerons en étroite collaboration avec vous pour comprendre et valider votre rapport, en fournissant une réponse initiale dans les 12 heures ouvrables suivant la soumission.
- Remédiation rapide : Nous prendrons des mesures rapides pour traiter et résoudre toute vulnérabilité vérifiée.
Safe Harbor
Nous reconnaissons que la recherche de vulnérabilités menée dans le cadre de cette politique est autorisée, légale et bénéfique pour la sécurité globale d'Internet, à condition qu'elle soit effectuée de bonne foi. Vous êtes censé respecter toutes les lois applicables tout au long de votre recherche.
Si vous avez des préoccupations ou n'êtes pas sûr que votre recherche soit conforme à cette politique, nous vous encourageons à soumettre un rapport via notre canal officiel (voir ci-dessous) avant de continuer.
Directives
Pour promouvoir la recherche responsable de vulnérabilités et distinguer les efforts de bonne foi des activités malveillantes, nous vous demandons de :
- Jouer selon les règles. Cela inclut le respect de cette Politique, ainsi que de tout autre terme ou accord pertinent. En cas d'incohérence entre cette Politique et tout autre terme pertinent, les termes de cette politique prévaudront.
- Effectuer des tests uniquement sur les systèmes entrant dans le champ d'application et respecter les systèmes et les activités hors du champ d'application.
- Interagir uniquement avec des comptes ou des appareils que vous possédez ou avec l'autorisation explicite du propriétaire.
- Faire de votre mieux pour éviter les violations de la vie privée, la destruction de données et l'interruption ou la dégradation de notre service.
- Si une vulnérabilité offre un accès non intentionnel aux données, limiter la quantité de données que vous accédez au minimum nécessaire pour démontrer efficacement une preuve de concept.
- Cesser immédiatement les tests et soumettre un rapport si vous rencontrez des données utilisateur pendant les tests, telles que des données personnelles et des données personnelles sensibles, des données de carte de crédit ou des informations propriétaires.
- Ne pas tenter d'exécuter des attaques de déni de service.
- L'ingénierie sociale (par exemple, phishing, vishing, smishing) est interdite.
- Signaler toute vulnérabilité que vous avez découverte rapidement.
- Ne pas vous livrer à l'extorsion en exigeant une récompense avant de divulguer les détails de la vulnérabilité.
- Utiliser uniquement les canaux officiels pour discuter des informations sur les vulnérabilités avec nous.
- Ne pas effectuer d'attaques DoS/DDoS ou de force brute.
- Ne pas utiliser de scanners automatiques.
Divulgation
Vous n’êtes pas autorisé à discuter ou publier publiquement toute vulnérabilité avant qu’elle n’ait été corrigée et que vous ayez reçu notre autorisation explicite de le faire.
Comment nous contacter
Le programme de divulgation responsable de RGF Staffing Belgium est disponible sur la plateforme Intigriti : https://app.intigriti.com/company/programs/rgfstaffing/rgfbe-vdp/detail
Récompenses
Nous n’offrons pas de récompenses monétaires pour les rapports de divulgation responsable, mais si vous signalez via notre programme de divulgation responsable de RGF Staffing Belgium sur Intigriti, pour tous les rapports valides de niveau moyen ou supérieur, nous offrons des jetons de reconnaissance en signe de gratitude.
Les seules exceptions de récompenses monétaires concernent les actifs spécifiques listés dans notre programme de prime de bogue enregistré sur Intigriti.
Veuillez noter que pour le programme de prime de bogue enregistré, nous n’accepterons que les rapports pour ces actifs qui sont listés dans le périmètre du programme et aucune autre variation. Pour tous les autres actifs, quel que soit le mode de signalement, nous reconnaissons les chercheurs qui soumettent des vulnérabilités inconnues auparavant qui entraînent un changement de code ou de configuration en offrant une place dans notre Hall of Fame (HoF) de la sécurité.
Liens rapides :
RGF Staffing Belgium Responsible Disclosure program (Intigriti)
RGF Staffing Belgium Registered Bug Bounty Program (Intigriti)