Ansvarlig rapportering

Hos Horde AS prioriterer vi sikkerheten hos våre brukere og deres data. Sikkerhetsforskere og vårt brukersamfunn spiller en vital rolle i å hjelpe oss med å opprettholde denne standarden. Vi verdsetter bidrag fra alle som kontakter oss med eventuelle funn som kan hjelpe oss å beskytte og sikre våre ressurser. Denne policyen kartlegger våre retningslinjer for ansvarlig rapportering av sårbarheter:

Grunnleggende

Vi ber alle som utfører sikkerhetsforskning på våre tjenester om å etterleve følgende retningslinjer:
  • Følg spillereglene: Følg retningslinjene som er skissert i dette dokumentet, og respekter alle relevante lover mens du utfører forskningen.
  • Personvern: Følg Hordes og nasjonale retningslinjer for personvern. Deling, uforsvarlig håndtering og utilstrekkelig sikring av personlig data er ikke tillatt.
  • Ingen uautorisert tilgang: Under ingen omstendigheter skal du forsøke å få tilgang til en annen brukers konto eller data.
  • Rask rapportering: Ta kontakt umiddelbart dersom du oppdager en mulig sårbarhet. Instruksjoner om hvordan du oppretter kontakt med oss finner du lenger nede på denne siden.
  • Begrenset offentliggjøring: Sårbarheter og tilhørende detaljer skal ikke publiseres andre steder enn i godkjente kommunikasjonskanaler fra Horde.
  • Gi oss tid: Gi vårt sikkerhetsteam tid til å undersøke og løse funn og problemstillinger.

Omfang

Retningslinjene som er dokumentert på denne siden dekker alle tjenester og produkter som Horde AS leverer. Før du rapporterer, vennligst vurder potensielle scenarioer, alvorlighetsgrad av utnyttelse og innvirkning når du evaluerer dine funn.

Følgende kategorier er “out of scope”

  • Sosial manipulering, fysiske sårbarheter.
  • Funn fra automatiserte verktøy uten konseptbevis.
  • Host header injeksjon uten praktiske konseptbevis.
  • Manglende konfigurasjon etter "beste praksis" for e-post (feilkonfigurert eller manglende SPF/DKIM/DMARC, e.l.).
  • Sårbarheter som krever MITM (Man-in-the-Middle), eller fysisk tilgang til en brukers nettleser, e-post - konto eller enheter.
  • Manglende konfigurasjon etter "beste praksis" for Content Security Policies.
  • Manglende konfigurasjon etter "beste praksis" for SSL/TLS.
  • Volumetriske/"Denial of Service" sårbarheter.
  • Etterligning av innhold og injeksjon av tekst uten å kunne påvise en angrepsvektor.
  • Self-XSS.
  • Velkjente sårbarheter i programvare eller kodebibliotek uten praktiske konseptbevis.
  • "Clickjacking" av innhold som ikke berører sensitivt innhold eller endepunkt.
  • Mangel på kvotebegrensning på ikke-kritiske endepunkt.
  • Feil ved UI/UX, stave- eller grammatiske feil.

Rapporteringsprosess

Vennligst rapporter til vårt sikkerhetsteam dersom du mener at du har funnet en mulig sårbarhet i våre tjenester. Gi utfyllende informasjon om mulige sårbarheter og hvordan du tror de kan bli utnyttet. Dersom du rapporterer en sårbarhet, ber vi deg om å:
  • Ikke foreta handlinger som kan øke risiko for brudd på personvern.
  • Unngå handling som kan avsløre sårbarheten for andre parter.
  • Unngå kommunikasjon med andre parter om eventuelle funn før sårbarheten har blitt løst av vårt sikkerhetsteam.

Når du rapporterer til vårt sikkerhetsteam

  • Mottak av rapport blir bekreftet innen 48 timer etter innsending, og neste steg i prosessen vil bli informert om i løpet av tre arbeidsdager.
  • Vi vil inngå i et samarbeid med deg for å forstå og evaluere dine funn.
  • Anerkjennelse av ditt bidrag, hvis du er den første som oppdager sårbarheten i våre tjenester.

Juridisk garanti

Horde AS vil ikke foreta noen rettslige skritt mot sikkerhetsforskere og brukere som følger våre retningslinjer. Sikkerhetsforskning må utføres på en ansvarlig og etisk måte, og du er pålagt å følge retningslinjene som er skissert på denne siden. Dersom du på noen som helst måte er usikker på hvorvidt sikkerhetsforskningen din er i samsvar med våre retningslinjer, ber vi deg ta kontakt med oss her før du fortsetter.Vi oppfordrer våre brukere til å rapportere mulige sårbarheter på en ansvarlig måte. Alle bidrag som kan hjelpe oss å forbedre sikkerheten settes stor pris på.

Belønning

Horde AS har ikke et løpende «bug bounty»-program, men som tegn på vår takknemlighet vil vi ofte kunne tilby symbolske gaver til personer som rapporterer mulige sårbarheter. Alle forskere og brukere som rapporterer en tidligere ukjent sårbarhet eller bidrar på en betydelig måte for å øke vår sikkerhet vil få en offentlig anerkjennelse i vårt offentlige dokument/nettsted for anerkjennelse.

Tilbakemelding og kontakt

Har du noen andre relevante tilbakemeldinger, eller ønsker å komme med forslag til våre retningslinjer kan du kontakte oss på denne lenken. Vi jobber stadig med å oppdatere og vedlikeholde våre retningslinjer, og setter alltid pris på konstruktive tilbakemeldinger.

Her finner du andre relevante kommunikasjonskanaler til vårt sikkerhetsteam:


security.txt
PGP public key
Du kan se våre brukervilkår her, og vår personvernerklæring her

Anerkjennelser

Liste med anerkjennelser

🇬🇧 English

Bli sjef i egen økonomi

Få ukentlige nyhetsbrev om økonomi og Horde-kampanjer. Meld deg av når som helst. Se vårpersonvernerklæring.

Kontakt

Horde AS

Org. nr 921 695 322

Lars Hilles Gate 20A

5008 Bergen

support@horde.no
Søk refinansiering

Renteeksempel forbrukslån: 140 000 kr over 5 år, effektiv rente 13,29 %, kostnad 49 168 kr, totalt 189 168 kr

Horde har konsesjon som betalingsforetak fra Finanstilsynet og er medlem av Finans Norge.