For Postkodelotteriet er våre kunder, og dermed også sikkerheten i systemene våre, svært viktige. Om du sitter på informasjon om forhold som du mener kan ha betydning for sikkerheten i våre system, vil vi gjerne høre fra deg. Du kan sende informasjonen til oss via vårt system for sårbarhetsrapportering som du kan finne en lenke til nederst på denne siden.
Pass på at du:
Det er ikke tillatt å:
Vi lover deg at:
Sårbar informasjon:
Vi definerer sårbar informasjon slik: Sårbarheter i webapplikasjoner som XSS, XXE, CSRF, SQLi, Local/Remote File Inclusion, autentiseringsproblem, fjernkjøring av kode, rettighetsproblemer og eskalering av privilegier. Disse sårbarhetene må ha en innvirkning på webapplikasjonens sikkerhet og medføre økt risiko for våre kunder. For at du skal navngis ved eventuell kommunikasjon om sårbarheten, må du være den første som på ansvarlig vis rapporterer denne til oss.
Hvert bidrag kommer til å vurderes fra tilfelle til tilfelle. Nedenfor følger noen problemer som ikke anses å utgjøre en sårbarhet:
Annen informasjon:
Takk for ditt bidrag
At the Norwegian Postcode Lottery our customers, and hence the security of our systems, is top priority. If you believe you have discovered a vulnerability that may impact the security of our systems we are grateful for receiving information about it. Please submit your findings via our Responsible Disclosure Report-system. You will find the link below.
Please do the following:
Please do not:
What we promise:
Qualifying vulnerabilities
We define qualified vulnerabilities as follow: Web application vulnerabilities such as XSS, XXE, CSRF, SQLi, Local or Remote File Inclusion, authentication issues, remote code execution, and authorization issues and privilege escalation. These qualified vulnerabilities must have an impact on the security of the web application and an increased risk for our customers. In order for us to i.a. be able to state your name in any publication, you must be the first researcher to responsibly disclose the vulnerability.
Each submission will be evaluated on a case-by-case basis. Below is a list of some of the issues which don’t qualify as security vulnerabilities:
Other information:
Thank you for your contribution.