漏洞披露策略
负责信息披露
州立农场致力于保密, 州立农场系统和信息的完整性和可用性. 我们关心保护我们的客户和员工免受日常生活中的安全风险. 如果您在使用State Farm系统时注意到信息安全问题 csf7.softlawinternationale.net 或者州立农场的移动应用,我们想听听.
我们要求您按照本漏洞披露政策,以负责任的方式披露信息安全问题. 州立农场将努力及时解决这一问题. 只要您遵守本政策,向State Farm披露信息安全问题, 州立农场不会对你采取法律行动或撤销对州立农场申请的访问权.
State Farm非常重视信息安全. 如果不遵守,我们保留所有法律权利.
我们的承诺
我们会尽可能地对你们开诚布公. 如有必要,我们将与您合作以了解问题. 如果我们认为这个问题是误报,或者如果我们已经知道这个问题,我们会告诉你.
如果问题可以验证:
- 我们将描述我们所看到的问题的优先级.
- 在可能的情况下,我们将定期发送有关状态的更新.
你的承诺
我们的目标之一是尽快解决问题,同时限制对客户的负面影响. 为了做到这一点,我们需要你的帮助:
- 不管影响如何, 您同意不损害州立农场信息或州立农场信息系统.
- 请使用位于此网页上的漏洞披露通信表单披露问题.
- 对于评分,请按照Bugcrowd的漏洞分类找到 在这里.
- 请提供有效的联系方式.
- 如果我们有问题,请回复.
- 请包括尽可能多的信息,以帮助我们重新创建的问题.
- 安全研究人员应该包括对问题的详细技术描述.
- 其他相关技术细节的例子:
- 问题的屏幕截图.
- 发生问题的URL.
- 用于登录的ID.
- 你注意到问题的时间等等.
- 您的源IP.
- (找到你的源IP, 去任何一个主要的搜索引擎, 在搜索框中输入“我的IP是什么”, 和搜索. 返回的数字看起来像这样:255.255.255.255).
不服从
如果你已经(或可能)伤害了州立农业公司的客户, 州立农场业务, 州立农场公司, 或州立农场供应商, 你没有遵守这项政策.
不合规的例子包括但不限于:
- 公开披露信息安全问题(e).g. (在社交媒体上),没有得到State Farm的书面同意. 这包括利用方法或代码.
- 披露任何资料(例如.g. 客户记录、密码)公开(e.g. 在聊天室,在社交媒体上,对你的朋友).
- 创建欺诈性记录.
- 访问或修改不属于您的帐户中的数据.
- 执行或试图执行任何类型的“拒绝服务”攻击.
- 社会工程(e).g. 网络钓鱼、借口电话).
- 使用(e.g. 上传(电邮)恶意软件或保安工具.
- 与State Farm客户的任何互动(例如.g. 不请自来的电子邮件).
- 任何互动(i).e. 与State Farm供应商沟通,测试).
- 在披露后进行持续测试.
为了你的安全, 请不要包括敏感的个人信息,如社会安全号码, 信用卡/借记卡号码, 或者健康/医疗信息.