Programma di divulgazione delle vulnerabilità

1. SCOPO

In Sonder, uno dei nostri principi fondanti è "Migliorare continuamente", che si traduce direttamente nel nostro programma di sicurezza delle informazioni che consente la protezione dei dati dei nostri ospiti e dei clienti come una priorità assoluta.

Il Sonder Security Team riconosce il ruolo prezioso che i ricercatori di sicurezza e i segnalatori di bug, onesti e indipendenti, svolgono nella sicurezza generale dei sistemi connessi. Di conseguenza, incoraggiamo la segnalazione responsabile di qualsiasi vulnerabilità che potrebbe essere presente nelle nostre proprietà degli ospiti, nell'applicazione mobile o nel sito Web e nei servizi dell'azienda. Sonder si impegna a collaborare con i ricercatori della sicurezza per verificare e affrontare potenziali vulnerabilità che ci vengono segnalate.

Si prega di rivedere questi termini prima di testare e/o segnalare una vulnerabilità a Sonder. Forniremo un porto sicuro ai ricercatori sulla sicurezza purché aderiscano a questa politica e agiscano in buona fede.

Se sei un cliente/ospite attuale

Se ritieni che il tuo account possa essere stato compromesso o se sospetti un comportamento fraudolento, non esitare a contattare il team di supporto di Sonder all'indirizzo https://www.sonder.com/help .

Ambienti di prova

Dovrebbero essere adottate tutte le misure possibili per evitare sistemi di produzione e unità ospiti attive durante l'esecuzione di test di vulnerabilità per garantire la sicurezza dei nostri ospiti. Eventuali unità ospiti attive e/o occupate sono rigorosamente off-limits dalle attività di test di vulnerabilità e penetrazione.

Segnalazione di una vulnerabilità di sicurezza

Si prega di condividere i dettagli della sospetta vulnerabilità con il Sonder Security Team inviando un'e-mail a [email protected] . Puoi usare la nostra Chiave PGP per crittografare l'e-mail.

Impronta digitale PGP: ABA7 E6FE 70A1 58E3 97E7 ECE9 7441 6D99 D6B3 BA52

La condivisione dei dettagli della vulnerabilità al di fuori del nostro processo di segnalazione formale non è consentita e non comporterà l'accettazione da parte di Sonder della tua segnalazione di vulnerabilità.

Politica

Indagheremo su tutte le segnalazioni legittime e faremo ogni sforzo per correggere rapidamente qualsiasi vulnerabilità. Chiediamo in cambio che:

Regole del programma

Sonder incoraggia la scoperta e la segnalazione responsabili ed etiche delle vulnerabilità. Sono espressamente vietati i seguenti comportamenti

Obiettivi compresi e fuori campo

Tutte le parti delle nostre applicazioni e dei servizi disponibili per i clienti/ospiti rientrano nell'ambito di applicazione e sono il nostro interesse primario. Dai un'occhiata di seguito per gli obiettivi nell'ambito.

Sonder utilizza una serie di fornitori e servizi di terze parti. Il nostro programma di divulgazione non ti dà il permesso di eseguire test di sicurezza sui loro sistemi. Le vulnerabilità nei sistemi di terze parti saranno valutate caso per caso e molto probabilmente non potranno beneficiare di un premio. Sono esclusi i seguenti sistemi di terze parti:

Vulnerabilità non qualificanti

Le questioni di bassa gravità, puramente teoriche e relative alle migliori pratiche non possono essere presentate. Ecco alcuni esempi:

In ambito

Nota: eseguire chi è cercare prima di inviare eventuali problemi sui domini trovati da Scanner sottodomini.

Bersaglio

Criticità

Idoneo per il premio

https://www.sonder.com

Critico

*.sonder.com

Alto

Sì (fare riferimento alla nota sopra)

https://apps.apple.com/us/app/sonder-taking-stay-further/id1422914567

Alto

https://play.google.com/store/apps/details?id=com.sonder.mahalo&hl=en_CA&gl=US

Alto

Riconoscimento e ricompensa

Sonder è lieto di ringraziare i ricercatori di sicurezza che inviano segnalazioni di vulnerabilità e ci stanno aiutando a migliorare la nostra posizione di sicurezza generale in Sonder per i nostri dipendenti, clienti e ospiti. Sonder può offrire fino a $ 500 in crediti SonderStays a discrezione di Sonder per nuove scoperte di natura critica.