Divulgation Responsable
Ceci est un programme de divulgation responsable. Keurig Dr Pepper fait progresser de façon proactive notre sécurité afin d’identifier de nouvelles menaces. Nous savons qu’aucune technologie n’est parfaite. Étant donné que les menaces qui pèsent sur notre environnement d’entreprise et sur les actifs de clients sont omniprésentes, nous apprécions le rôle important que joue la communauté de la sécurité pour nous aider à atténuer les risques liés à la sécurité de l’information. Keurig Dr Pepper est heureuse de travailler avec la communauté de la sécurité pour trouver les vulnérabilités afin de garder nos clients et de protéger les opérations de notre entreprise. Si vous avez des renseignements sur de possibles vulnérabilités en matière de sécurité concernant un produit ou un service de Keurig Dr Pepper, veuillez soumettre un rapport en suivant ces lignes directrices.
I. Programme
1. Portée Les domaines où Keurig Dr Pepper figure comme l’organisation inscrite, l’organisation administrative ou l’organisation technologique sont dans la portée. Les domaines enregistrés auprès de Keurig Dr Pepper, mais hébergés par un tiers ne sont pas dans la portée. Vous n’êtes pas certain de ce qui est compris dans la portée? Envoyez un courriel à support@hackerone.com.
2. Règle refuge Toute activité menée conformément à la présente politique sera considérée comme une conduite autorisée, et nous n’intenterons pas de poursuites contre vous. Si une poursuite est intentée par un tiers contre vous relativement à des activités menées en vertu de la présente politique, nous ferons savoir que vos actions ont été menées conformément à la présente politique. Keurig Dr Pepper se réserve tous les droits légaux en cas de non-respect de cette politique.
3. Admissibilité au programme
- Vous acceptez et respectez les règles du programme et les modalités juridiques énoncées dans la présente politique.
- Vous êtes le premier à soumettre un rapport suffisamment reproductible pour une vulnérabilité afin d’être admissible à l’acceptation et au triage du rapport.
- Vous êtes disponible pour fournir des renseignements supplémentaires, selon les besoins de notre équipe, afin de reproduire et de catégoriser le problème.
- Les vulnérabilités de « jour zéro » connues du public ne seront pas étudiées pour admissibilité avant qu’une période de plus de 30 jours après la disponibilité des correctifs ne se soit écoulée.
- Les rapports de vulnérabilité hors de la portée ou les rapports qui sont techniquement reproductibles, mais qui ont une incidence très faible sur la sécurité seront probablement clôturés, et classés comme étant informatifs.
- Les employés de Keurig Dr Pepper et les employés de tiers ne sont pas admissibles à ce programme.
4. Règles du programme
- À faire :
- Lire et respecter la politique du programme.
- Effectuer les tests en utilisant uniquement les comptes qui sont vos propres comptes personnels ou comptes de tests, ou un compte pour lequel vous avez reçu l’autorisation expresse d’utilisation par son titulaire.
- Faire preuve de prudence lors des tests afin d’éviter les répercussions négatives sur les clients et les services dont ils dépendent.
- ARRÊTER les tests si vous n’êtes pas certain de l’impact qu’ils peuvent avoir sur nos systèmes. Si vous croyez avoir causé ou risquez de causer des dommages en testant une vulnérabilité, signalez vos constatations initiales et demandez l’autorisation de poursuivre les tests.
- À ne PAS faire :
- Ne pas divulguer le problème de sécurité potentiel à un tiers sans l’autorisation écrite préalable de Keurig Dr Pepper.
- Ne pas forcer les identifiants ou les deviner pour accéder aux systèmes.
- Ne pas participer aux attaques par déni de service.
- Ne pas télécharger de contenants de stockage et ne pas créer de porte dérobée de quelque type que ce soit.
- Ne participer à aucune forme d’ingénierie sociale des employés, clients ou fournisseurs de Keurig Dr Pepper.
- Ne pas cibler les employés, clients ou fournisseurs de Keurig Dr Pepper pendant vos tests.
- Ne pas essayer d’extraire, de télécharger ou d’exfiltrer de toute autre façon des données qui, selon vous, pourraient contenir des renseignements qui permettent d’identifier une personne ou d’autres données sensibles autres que les vôtres.
- Ne pas modifier les mots de passe d’un compte qui n’est pas le vôtre ou pour lequel vous n’avez pas l’autorisation expresse d’effectuer des modifications. Si on vous demande de modifier le mot de passe d’un compte que vous n’avez pas enregistré vous-même ou d’un compte qui ne vous a pas été fourni, arrêtez et signalez la constatation immédiatement.
- Ne rien faire qui pourrait être considéré comme une violation de la vie privée, entraîner la destruction de données ou interrompre ou dégrader notre service. Ne pas interagir avec les comptes que vous ne possédez pas ou pour lesquels vous ne disposez pas d’autorisation expresse de la part du titulaire.
- Ne participer à aucune tentative physique contre la propriété de Keurig Dr Pepper.
5. Politique de divulgation
Vous ne devez pas discuter de ce programme ou de toute vulnérabilité (même invalide ou résolue) à l’extérieur du programme sans le consentement exprès de l’organisation. Si vous souhaitez partager des renseignements sur votre méthodologie de test liée à un rapport de Keurig Dr Pepper, vous devez demander la permission dans votre rapport et recevoir l’approbation écrite d’un membre de l’équipe de Keurig Dr Pepper.
6. Juridique Keurig Dr Pepper se réserve le droit de modifier les modalités de ce programme, et votre participation au programme constitue une acceptation de toutes les modalités. Veuillez consulter ce site régulièrement, car nous mettons régulièrement à jour les modalités de notre programme et les conditions d’admissibilité, qui entrent en vigueur au moment de la publication.
II. Processus de soumission
1. Temps de réponse
- Première réponse – 2 jours
- Temps de triage – 2 jours
- Délai de résolution – dépend de la gravité et de la complexité
2. Instructions De Test
- Nous vous recommandons fortement d’utiliser l’en-tête d’un agent utilisateur dans vos demandes HTTP(S), et pour les demandes non HTTP, nous vous recommandons fortement d’ajouter une identification aux artéfacts dans les démonstrations de faisabilité ou les charges utiles afin que nos équipes puissent vous identifier comme un pirate vérifié et non comme un attaquant malveillant : h1 :<vdp-hackeroneusername>.
- Aucune qualification n’est exigée ou fournie pour ce programme. Si vous vous inscrivez vous-même à un compte, veuillez vous inscrire avec votre adresse de courriel @wearehackerone.com. Vous ne pouvez pas utiliser les identifiants exposés pour continuer les tests sans l’approbation explicite de l’entreprise.
3. Exclusions de la portée
- Keurig Dr Pepper se réserve le droit d’ajouter et de soustraire des éléments à la liste des exclusions en fonction de la gravité évaluée des vulnérabilités signalées et de l’acceptation du risque*
- Détournement de clics sur des pages sans aucune action sensible
- Falsification de requête intersite (FRIS) sur des formulaires non authentifiés ou sans aucune action sensible
- Attaques par interception ou nécessitant un accès physique à l’appareil d’un utilisateur
- Bibliothèques vulnérables déjà connues sans démonstration de faisabilité fonctionnelle
- Injection de valeurs séparées par des virgules (CSV) sans démonstration de vulnérabilité
- Pratiques exemplaires manquantes dans la configuration SSL/TLS
- Toute activité qui pourrait entraîner l’interruption de notre service (DoS).
- Problèmes d’usurpation de contenu et d’injection de texte sans afficher de vecteur d’attaque/sans pouvoir modifier le HTML/CSS
- Toute activité qui pourrait entraîner l’interruption de notre service (DoS), y compris, mais sans s’y limiter, inonder les services d’assistance de demandes non valides.
- Attaques par force brute dans Oracle contre des points d’extrémité non authentifiés
- Pratiques exemplaires manquantes dans la Politique sur la sécurité du contenu
- Indicateurs HttpOnly ou Secure manquants sur les fichiers-témoins
- Pratiques exemplaires en matière de courriels manquantes (enregistrements SPF/DKIM/DMARC, non valides, incomplets ou manquants, etc.)
- Vulnérabilités affectant uniquement les utilisateurs de navigateurs désuets ou non corrigés [Moins de 2 versions stables de retard sur la dernière version stable publiée]
- Divulgation de la version du logiciel / Problèmes d’identification de la bannière / Messages d’erreur descriptifs ou en-têtes (p. ex., erreurs de traces de pile, d’application ou de serveur)
- Attaque par tabulation (tabnapping)
- Problèmes qui exigent une interaction utilisateur improbable par la victime