Chez Sonder, l'un de nos principes fondateurs est de « s'améliorer continuellement », ce qui se traduit directement par notre programme de sécurité de l'information permettant la protection de nos clients et des données de nos clients comme une priorité absolue.
L'équipe de sécurité de Sonder reconnaît le rôle précieux que jouent des chercheurs en sécurité et des reporters de bogues honnêtes et indépendants dans la sécurité globale des systèmes connectés. Par conséquent, nous encourageons le signalement responsable de toute vulnérabilité pouvant être présente dans nos propriétés, notre application mobile ou le site Web et les services de notre entreprise. Sonder s'engage à travailler avec des chercheurs en sécurité pour vérifier et traiter les vulnérabilités potentielles qui nous sont signalées.
Veuillez consulter ces conditions avant de tester et/ou de signaler une vulnérabilité à Sonder. Nous fournirons un refuge sûr aux chercheurs en sécurité tant qu'ils adhèrent à cette politique et agissent de bonne foi.
Si vous pensez que votre compte a peut-être été compromis ou si vous soupçonnez un comportement frauduleux, n'hésitez pas à contacter l'équipe d'assistance de Sonder à https://www.sonder.com/help .
Toutes les mesures possibles doivent être prises pour éviter les systèmes de production et les unités invitées actives lors des tests de vulnérabilité afin d'assurer la sécurité de nos invités. Toutes les unités invitées actives et/ou occupées sont strictement interdites aux activités de test de vulnérabilité et de pénétration.
Veuillez partager les détails de la vulnérabilité suspectée avec l'équipe de sécurité de Sonder en envoyant un e-mail à [email protected] . Vous pouvez utiliser notre Clé PGP pour chiffrer l'e-mail.
PGP Fingerprint: ABA7 E6FE 70A1 58E3 97E7 ECE9 7441 6D99 D6B3 BA52
Le partage des détails de la vulnérabilité en dehors de notre processus de signalement formel n'est pas autorisé et n'entraînera pas l'acceptation par Sonder de votre rapport de vulnérabilité.
Nous enquêterons sur tous les signalements légitimes et ferons tout notre possible pour corriger rapidement toute vulnérabilité. Nous vous demandons en retour :
Fournir des détails sur la vulnérabilité, y compris les informations nécessaires pour reproduire et valider la vulnérabilité et une preuve de concept (POC)
Faire un effort de bonne foi pour éviter les violations de la vie privée, la destruction des données et l'interruption ou la dégradation de nos services
Donnez à l'équipe de sécurité de Sonder un délai raisonnable pour corriger le problème avant de rendre toute information publique
Sonder encourage la découverte et le signalement responsables et éthiques des vulnérabilités. Le comportement suivant est expressément interdit :
Lors des tests, n'attaquez que les comptes de test que vous contrôlez. Un PoC impliquant inutilement des comptes d'autres invités ou d'employés de Sonder peut être disqualifié. Il est également recommandé de nous indiquer les comptes que vous utilisez pour les tests, même lorsqu'ils sont sous votre contrôle ;
N'exécutez pas d'analyses automatisées sans nous consulter au préalable ;
Ne testez pas la sécurité physique des bureaux, employés, équipements, partenaires, fournisseurs ou sous-traitants de Sonder ;
Ne testez pas à l'aide de techniques d'ingénierie sociale (hameçonnage, harponnage, faux-semblant, etc.) ;
N'effectuez pas d'attaques DoS ou DDoS. Vous êtes les bienvenus et encouragés à rechercher des vulnérabilités qui peuvent être exploitées pour des attaques DoS ou DDoS, nous ne voulons tout simplement pas que vous exploitiez réellement le problème en dehors d'un environnement étroitement contrôlé ;
N'attaquez en aucune façon nos utilisateurs finaux/invités ou ne vous engagez pas dans le commerce d'identifiants d'utilisateur volés ;
Ne pas accéder ou tenter d'accéder à des données, des informations ou des unités physiques de construction qui ne vous appartiennent pas ;
Ne pas effectuer de tests de vulnérabilité ou de pénétration des unités d'accueil, des chambres d'hôtel ou des bâtiments Sonder occupés ;
Ne violez aucune loi applicable ou ne violez aucun accord afin de découvrir des vulnérabilités, ou n'utilisez pas d'autres moyens contraires à l'éthique pour obtenir un accès et/ou des informations ;
Seul le premier déclarant est éligible pour recevoir une récompense (reportez-vous à la section Reconnaissance et récompenses ci-dessous).
Toutes les parties de nos applications et services disponibles pour les clients/invités sont dans le champ d'application et sont notre principal intérêt. Veuillez consulter ci-dessous les cibles visées.
Sonder utilise un certain nombre de fournisseurs et de services tiers. Notre programme de divulgation ne vous donne pas la permission d'effectuer des tests de sécurité sur leurs systèmes. Les vulnérabilités des systèmes tiers seront évaluées au cas par cas et ne donneront probablement pas droit à une récompense. Les systèmes tiers suivants sont exclus :
Attaques directes contre n'importe quelle partie de l'infrastructure d'AWS
Nuageux
Okta
Les problèmes de faible gravité, purement théoriques et de meilleures pratiques ne sont pas éligibles pour la soumission. Voici quelques exemples :
Messages d'erreur descriptifs (par exemple, Stack Traces, erreurs d'application ou de serveur)
Prises de contrôle théoriques de sous-domaines sans preuves à l'appui
Codes/pages HTTP 404 ou autres codes/pages HTTP non 200
Fuite d'informations, divulgation d'empreintes digitales/bannières sur les services communs/publics
Divulgation de fichiers ou répertoires publics connus, (par exemple, robots.txt)
Clickjacking sur une page publique et problèmes exploitables uniquement via le clickjacking
CSRF sur les formulaires accessibles aux utilisateurs anonymes (eg, le formulaire de contact)
Contrefaçon de requête intersite de déconnexion (CSRF de déconnexion)
Présence d'une application ou d'une fonctionnalité de « saisie semi-automatique » ou « d'enregistrement du mot de passe » dans le navigateur Web
Absence d'indicateurs Secure/HTTPOnly sur les cookies non sensibles
Captcha faible/contournement de Captcha
Force brute de la page de mot de passe oublié et verrouillage du compte non appliqué
OPTIONS Méthode HTTP activée
Téléchargements de fichiers reflétés
Cache-contrôle manquant
Attaque d'en-tête d'hôte
Liste du répertoire
En-têtes de sécurité HTTP manquants (en particulier la Liste OWASP des en-têtes HTTP utiles )
Problèmes SSL (BEAST, BREACH, attaque de renégociation, confidentialité de transfert non activée, chiffrements faibles)
Ne pas effectuer de limitation de débit sur les points de terminaison sans connexion
Usurpation de contenu
Préchargement HPKP/HSTS
Exemples génériques d'attaques d'en-tête d'hôte sans preuve de la capacité de cibler une victime distante
Rapports exploitant le comportement ou les vulnérabilités de navigateurs obsolètes
Paramètres SPF, DKIM ou DMARC et usurpation d'e-mails
Script de contenu mixte et Self XSS
Données de géolocalisation EXIF
Ouvrir l'API WordPress JSON sans exploit
Fuite du jeton de réinitialisation du mot de passe (ceci est connu et nous allons implémenter un correctif)
Politique de mot de passe
Remarque : Veuillez exécuter qui est recherche avant de soumettre des problèmes sur les domaines trouvés par les scanners de sous-domaines.
Cible | Criticité | Admissible à la récompense |
|---|---|---|
https://www.sonder.com | Critique | Oui |
*.sonder.com | Haute | Oui (voir note ci-dessus) |
https://apps.apple.com/us/app/sonder-taking-stay-further/id1422914567 | Haute | Oui |
https://play.google.com/store/apps/details?id=com.sonder.mahalo&hl=en_CA&gl=US | Haute | Oui |
Sonder est heureux de remercier les chercheurs en sécurité qui soumettent des rapports de vulnérabilité et nous aident à améliorer notre posture de sécurité globale chez Sonder pour nos employés, clients et invités. Sonder peut offrir jusqu'à 500 $ en crédits SonderStays à la discrétion de Sonder pour de nouvelles découvertes de nature critique.