Sårbarhetsrapportering

For Postkodelotteriet er våre kunder, og dermed også sikkerheten i systemene våre, svært viktige. Om du sitter på informasjon om forhold som du mener kan ha betydning for sikkerheten i våre system, vil vi gjerne høre fra deg. Du kan sende informasjonen til oss via vårt system for sårbarhetsrapportering som du kan finne en lenke til nederst på denne siden.

Pass på at du:

  • Rapporterer informasjonen umiddelbart slik at uvedkommende ikke kan utnytte informasjonen.
  • Rapporterer på en sikker måte slik at informasjonen holdes hemmelig for å minimere risikoen for at andre får tilgang til informasjonen før et eventuelt problem er løst.
  • Deler tilstrekkelig med informasjon til å gjenskape sårbarheten slik at vi er i stand til å løse det. Normalt vil det være tilstrekkelig å angi IP-adresse eller URL til berørt system og en beskrivelse av problemet, men komplekse sårbarheter kan kreve ytterligere informasjon.

Det er ikke tillatt å:

  • Avsløre dine funn til andre enn oss før problemet er løst.
  • Kopiere, modifisere eller slette data i vårt system.
  • Bruke tjenestenektangrep (DDOS, DOS), systematisk gjetting av passord (brute force), sosial manipulasjon, søppelpost eller applikasjoner fra tredjepart for å få tilgang til systemet.
  • Misbruke informasjon om det eventuelle problemet. Om informasjon misbrukes, kan vi bli nødt til å gå til rettslige skritt.

Vi lover deg at:

  • Vi skal gi deg tilbakemelding innen fem arbeidsdager med en foreløpig vurdering og forventet dato for tiltak. Vi kommer til å holde deg orientert vedrørende status på utbedring av sårbarheten.
  • Om du har fulgt retningslinjene ovenfor, vil vi ikke gå til rettslige skritt mot deg hva gjelder det du har rapportert.
  • Du kan være anonym eller bruke pseudonym når du rapporterer til oss.
  • Om du velger å oppgi navn, vil vikke videreformidle dine personopplysninger til tredjepart om det ikke er pålagt ved lov.
  • Du har mulighet til å reservere deg mot at ditt navn publiseres når vi offentliggjør opplysninger om det rapporterte problemet.
  • Vi vil arbeide for å løse alle problem så snart som mulig og vi vil være avsender ved eventuell kommunikasjon om problemet.

Sårbar informasjon:

Vi definerer sårbar informasjon slik: Sårbarheter i webapplikasjoner som XSS, XXE, CSRF, SQLi, Local/Remote File Inclusion, autentiseringsproblem, fjernkjøring av kode, rettighetsproblemer og eskalering av privilegier. Disse sårbarhetene må ha en innvirkning på webapplikasjonens sikkerhet og medføre økt risiko for våre kunder. For at du skal navngis ved eventuell kommunikasjon om sårbarheten, må du være den første som på ansvarlig vis rapporterer denne til oss.

Hvert bidrag kommer til å vurderes fra tilfelle til tilfelle. Nedenfor følger noen problemer som ikke anses å utgjøre en sårbarhet:

  • Rapport om gammel programvare
  • Avvik fra «best practice»
  • Bruk av komponenter med kjent sårbarhet uten relevant POC-angrep.
  • Automatiserte verktøyskanningsrapporter, så som web-/SSL-/TLS-skanning, nmap-skanningsresultat og lignende
  • Self-XSS og XSS som bare påvirker eldre webleseres UI og UX-bugs samt skrivefeil.
  • TLS- og SSL-relaterte problem.
  • SPF-, DMARC- og DKIM-konfigurasjoner
  • Sårbarheter på grunn av utdaterte weblesere eller plugins
  • Content Security Policies (CSP)
  • Sårbarheter i livssyklusprodukter
  • Manglende sikre flagg på cookies
  • Opplisting av brukernavn
  • Sårbarheter som bygger på forekomsten av plugins slik som Flash
  • Feil som påvirker brukere av utdaterte weblesere og plugins
  • Mangel på sikkerhetsprotokoller, herunder men ikke begrenset til «content-type-options» og X-XSS-Protections»
  • Mangel på Captcha som sikkerhetsbeskyttelse
  • Problem som involverer skadevare installert på enheten
  • Sårbarheter som krever et «jailbroken device»
  • Sårbarheter som krever fysisk tilgang til mobile enheter
  • Bruk av et kjent og sårbart bibliotek uten bevis for risiko for utnyttelse
  • Angrep som bruker Click/Tap-jacking og UI-redressing hvor du lurer brukeren til å klikke i et UI (brukergrensesnitt)
  • Host header- og banner grabbing-problem
  • Denial of service-angrep og Distributed denial of service-angrep
  • Rate limiting- og brute force-angrep
  • Innlogging/utlogging/CSRF med lav virksomhetsrisiko
  • Session fixation og session timeout
  • Formula/CSV Injection

Annen informasjon:

  • Økonomisk kompensasjon for informasjon som beskrevet ovenfor utbetales ikke.

Takk for ditt bidrag

Dette nettstedet bruker informasjonskapsler. Les mer. Lukk.