Chat on WhatsApp

Kebijakan Pengungkapan Kerentanan

Pendahuluan
Situs web ini dioperasikan oleh Hacktiv8. Di seluruh situs ini, istilah “kami” merujuk kepada Hacktiv8. Situs web ini dan domainnya adalah nama dan domain yang terafiliasi oleh Hacktiv8, dan halaman, tautan, fitur, konten, dan layanan yang selanjutnya ditawarkan oleh Hacktiv8 dimiliki dan dijalankan sepenuhnya oleh Hacktiv8.

Hacktiv8 berkomitmen untuk memberikan dampak positif bagi masyarakat. Kami berkomitmen untuk mengamankan sistem perusahaan kami, melindungi data yang dipercayakan kepada kami oleh klien dan mitra kami, serta keandalan produk dan/atau layanan kami. Oleh karena itu, kami menyambut baik setiap peneliti keamanan independen untuk menemukan kerentanan yang mungkin dimiliki sistem atau aplikasi elektronik Hacktiv8.

Kebijakan Pengungkapan Kerentanan ini bertujuan untuk memberikan pedoman yang jelas bagi peneliti keamanan independen untuk melakukan aktivitas penemuan kerentanan, syarat dan ketentuan untuk melakukan aktivitas tersebut yang ditujukan pada sistem atau aplikasi elektronik Hacktiv8, dan menyampaikan kerentanan yang ditemukan kepada kami. Kami mewajibkan agar semua laporan tetap rahasia dan tidak diungkapkan kepada pihak lain mana pun.

Harap diingat bahwa Hacktiv8 tidak mengoperasikan program hadiah untuk penemuan bug. Dengan mengirimkan laporan kerentanan, Anda mengakui bahwa Anda tidak mengharapkan imbalan dan bahwa Anda secara tegas melepaskan segala tuntutan pemberian imbalan di masa mendatang terhadap Hacktiv8 yang terkait dengan laporan Anda. Namun, kami sangat menghargai upaya Anda dalam mengidentifikasi kerentanan atau kesalahan dalam sistem kami, karena masukan Anda akan berkontribusi untuk meningkatkan keamanan dan keandalan produk serta layanan kami. Terima kasih telah membantu menjaga keamanan Hacktiv8 dan pengguna kami.
Metode Pengujian
Kami menganjurkan Anda untuk menghubungi kami guna melaporkan potensi kerentanan dalam sistem kami:
  • Mohon untuk tidak dengan sengaja merusak atau menurunkan integritas layanan Hacktiv8.
  • Gunakan exploit hanya sejauh yang diperlukan untuk mengkonfirmasi keberadaan kerentanan. Jangan gunakan exploit untuk membahayakan atau mencuri data, membuat akses baris perintah yang persisten, atau menggunakan exploit untuk beralih ke sistem lain
  • Berusahalah dengan itikad baik untuk menghindari pelanggaran privasi, penurunan pengalaman pengguna, gangguan pada sistem produksi, dan penghancuran atau manipulasi data.
  • Setelah Anda memastikan bahwa terdapat suatu kerentanan atau menemukan data sensitif (termasuk informasi identitas pribadi, informasi keuangan, atau informasi kepemilikan atau rahasia dagang pihak mana pun), Anda harus menghentikan pengujian, segera memberitahu kami, dan tidak mengungkapkan data ini kepada orang lain.
Tindakan Yang Dilarang
Saat melakukan pengujian untuk menemukan kerentanan, kami meminta Anda untuk tidak:
  • Melakukan pengujian penolakan layanan jaringan (DoS atau DDoS) atau pengujian lain yang mengganggu akses atau merusak sistem atau data Hacktiv8.
  • Melakukan pengujian fisik (misalnya akses kantor, pintu terbuka, tailgating), spamming, rekayasa sosial (misalnya phishing, vishing), atau pengujian kerentanan non-teknis lainnya.
  • Memaksa brute force kredensial atau menebak kredensial untuk mendapatkan akses ke sistem.
  • Mengeksploitasi kerentanan yang ditemukan.
  • Mengungkapkan kerentanan secara publik tanpa tinjauan dan persetujuan tertulis sebelumnya yang eksplisit dari kami.
  • Melibatkan atau menargetkan karyawan, pelanggan, mitra, vendor, atau pemasok Hacktiv8 selama pengujian Anda.
  • Berusaha mengekstrak, mengunduh, atau mencuri data yang mungkin memiliki Informasi Identitas Pribadi (PII) atau data sensitif lainnya selain milik Anda.
  • Terlibat dalam aktivitas yang dianggap sebagai pelanggaran privasi, menyebabkan kerusakan data, atau mengganggu atau menurunkan kualitas layanan Hacktiv8.
  • Membocorkan, mengubah, merusak, menyalahgunakan, atau menyalahgunakan data atau berkas sistem apa pun.

Daftar yang disebutkan di atas adalah metode dan tindakan pengujian yang tidak sah yang tidak boleh Anda lakukan. Dilakukannya salah satu tindakan tersebut akan dianggap sebagai pelanggaran terhadap kebijakan ini.
Kerentanan di Luar Cakupan
Kerentanan berikut ini tidak termasuk ke dalam kerentanan yang perlu dilaporkan kepada kami:
  • Adanya, tidak adanya, atau konfigurasi yang tidak lengkap dari rekaman DMARC dan konfigurasi email terkait
  • XSS pada domain mana pun selain hacktiv8.com, hacktiv8.ac.id, blog.hacktiv8.com
  • XSS yang mempengaruhi rekan kerja di dalam ruang kerja
  • Header keamanan HTTP, masalah CSRF, dan masalah berisiko rendah lainnya
  • Subdomain takeover tanpa bukti yang bisa diverifikasi.
  • Account harvesting (e.g. enumerasi username pada WordPress).
  • Mendapatkan akses terhadap key dan informasi kredensial tanpa bisa digunakan.
  • Lack of rate-limiting pada API endpoints, kecuali tidak ada limitasi terhadap token/pin dengan digit yang memungkinkan dilakukan teknik brute-forcing (contoh. 4 digit passcode tanpa validasi terhadap pembatasan jumlah request).
  • Celah keamanan yang ditemukan di perangkat seluler yang telah di root.
  • Enumerasi UUID. - Celah SSL Pinning.
  • Enumerasi pada Invite/Promo code.
  • Open redirects. 99% dari celah open redirection memiliki dampak keamanan yang ringan, namun kami juga masih mempertimbangkan beberapa kasus langka dimana memiliki dampak keamanan yang berat, seperti contohnya pencurian token oauths.
  • Melaporkan versi perangkat lunak yang sudah kadaluarsa atau memiliki celah tanpa bukti atau dampak yang nyata.
  • Melaporkan celah yang hanya berdampak pada versi user-agent atau aplikasi yang kadaluarsa. Kami hanya mempertimbangkan eksploitasi yang dilakukan menggunakan versi web browser yang terbaru pada Safari, FireFox, Chrome, Edge, IE dan versi aplikasi yang ada di Google Playstore atau AppStore.
  • Stack traces, path disclosure, dan directory listings.
  • CSV injection.
  • Celah-celah tanpa ada dampak langsung.
  • Laporan yang hanya berisi spekulasi tentang teori kerentanan tanpa disertai bukti adanya kerentanan.
  • Celah keamanan yang tidak bisa di-exploit oleh user lain atau Hacktiv8 – contohnya. Self-XSS (biasanya dapat dilakukan dengan menyematkan JavaScript pada konsul browser).
  • Celah keamanan yang berada pada lingkungan sandbox atau staging.
  • Celah keamanan yang dilaporkan oleh aplikasi otomatis tanpa ada tambahan analisis seperti bagaimana celah keamanan itu dapat ditemukan.
  • Laporan celah keamanan yang didapat dari aplikasi pemindai otomatis untuk web aplikasi (Acunetix, Vega, dan lain-lain) tanpa validasi manual.
  • Distributed denial of service attacks (DDOS) atau aktivitas yang bisa menyebabkan gangguan pada layanan.
  • Celah keamanan Content injection.
  • Cross-site Request Forgery (CSRF) dengan minimal dampak keamanan (Logout CSRF, dan lain-lain.)
  • Missing cookie flags pada non-authentication cookies.
  • Email Spoofing.
  • Missing HTTP security headers. - Lack of HTTPOnly dan Secure cookie flags.
  • Celah keamanan yang membutuhkan akses terhadap perangkat fisik atau komputer korban.
  • Laporan pemindaian SSL/TLS (hasil yang didapat dari aplikasi daring seperti SSL Labs).
  • Celah Banner grabbing (Seperti mendapatkan versi dari web server yang kami gunakan).
  • Celah port yang terbuka tanpa bisa menjelaskan bagaimana celah keamanan yang dimaksud dan memberikan dampak dari celah keamanan tersebut.
  • Broken Link Hijacking.
Kebijakan Pengungkapan
Jika menemukan potensi masalah keamanan, mohon berikan kami waktu yang wajar untuk menyelesaikan masalah tersebut sebelum mengungkapkannya kepada publik atau pihak ketiga.
Pelaporan
Kerentanan dapat dilaporkan ke tim keamanan kami dengan mengirimkan email ke halo@hacktiv8.com dengan deskripsi terperinci dan bukti konsep yang menyoroti kerentanan tersebut.

Memberikan informasi kontak Anda dengan laporan Anda sepenuhnya bersifat sukarela dan atas kebijakan Anda. Memberikan informasi kontak Anda tidak menjamin bahwa Anda akan menerima tanggapan apa pun dari Hacktiv8 terkait laporan Anda. Kami dapat menghubungi Anda terkait isi laporan atas kebijakannya sendiri.

Untuk membantu kami memilah dan memprioritaskan laporan, kami menyarankan agar laporan Anda:
  • Menjelaskan lokasi ditemukannya kerentanan dan potensi dampak eksploitasi.
  • Memberikan deskripsi terperinci tentang langkah-langkah yang diperlukan untuk mereproduksi kerentanan (skrip atau tangkapan layar bukti konsep akan membantu).

Mohon agar Anda tidak mengirimkan laporan berkualitas rendah dalam jumlah besar.

Dengan mengirimkan laporan kerentanan ke Hacktiv8, Anda secara tegas menyetujui persyaratan berikut:
  • Anda menyerahkan semua hak penggunaan dan kepemilikan laporan kepada Hacktiv8.
  • Tindakan dan interaksi Anda dengan Hacktiv8 sebelum pelaporan tidak melanggar hukum yang berlaku.
  • Anda tidak bermaksud merugikan Hacktiv8, pelanggan, karyawan, mitra, vendor, atau pemasoknya.
  • Dalam melakukan pengujian untuk mengungkap kerentanan, Anda berupaya dengan itikad baik untuk menghindari pelanggaran privasi dan gangguan terhadap orang lain, termasuk (tetapi tidak terbatas pada) akses tidak sah atau penghancuran data, dan gangguan atau degradasi sistem elektronik, produk, dan/atau layanan kami.
  • Anda setuju untuk tidak mengungkapkan informasi apa pun tentang laporan dan kerentanan yang dijelaskan di dalamnya, dan fakta bahwa Anda telah mengirimkan laporan ke Hacktiv8.
  • Anda setuju bahwa laporan tersebut dibuat atas dasar niat baik, dan dilakukan tanpa mengharapkan imbalan, baik dalam bentuk uang atau lainnya, dari Hacktiv8.
  • Anda setuju untuk tidak mengeksploitasi masalah keamanan yang Anda temukan dengan alasan apa pun. Hal ini termasuk menunjukkan risiko tambahan, seperti upaya kompromi data perusahaan yang sensitif atau menyelidiki masalah tambahan.
  • Anda setuju untuk tidak dengan sengaja melanggar hukum atau peraturan lain yang berlaku, termasuk (tetapi tidak terbatas pada) hukum dan peraturan yang melarang akses tidak sah ke data.
  • Jika Anda ingin mempublikasikan kerentanan yang Anda laporkan, Anda setuju untuk memberi Hacktiv8 waktu yang wajar untuk memperbaikinya dan Anda dapat mengungkapkannya kepada publik setelah Anda menerima persetujuan tertulis sebelumnya dari Hacktiv8 dan setidaknya 3 (tiga) bulan setelah kerentanan yang ditemukan diperbaiki.
  • Hacktiv8 berhak untuk memutuskan atas kebijakannya sendiri apakah laporan yang diserahkan diizinkan untuk dipublikasikan ke publik atau tidak.
  • Laporan dengan tingkat keparahan kritis tidak diizinkan untuk dipublikasikan oleh peneliti tanpa persetujuan tertulis sebelumnya dari Hacktiv8.
  • Jika Anda menerbitkan laporan untuk alasan apa pun tanpa persetujuan tertulis sebelumnya dari Hacktiv8, Anda setuju bahwa Hacktiv8 berhak untuk mengambil tindakan hukum apapun terhadap Anda.
Tindakan Perlindungan
Setiap aktivitas yang dilakukan dengan cara yang konsisten dengan kebijakan ini akan dianggap sebagai tindakan yang sah dan kami tidak akan memulai tindakan hukum terhadap Anda. Jika tindakan hukum dimulai oleh pihak ketiga terhadap Anda sehubungan dengan aktivitas yang dilakukan berdasarkan kebijakan ini, kami akan mengambil langkah-langkah untuk memberi tahu bahwa tindakan Anda dilakukan sesuai dengan kebijakan ini.

Hacktiv8 memiliki hak hukum apa pun yang tersedia, baik secara perdata maupun pidana, jika terjadi ketidakpatuhan terhadap kebijakan ini.
Informasi Kontak
Kami juga mengundang Anda untuk menghubungi kami apabila terdapat saran untuk meningkatkan kebijakan ini. Pertanyaan mengenai kebijakan ini dapat dikirimkan ke halo@hacktiv8.com. Kami juga mengundang Anda untuk menghubungi kami apabila terdapat saran untuk meningkatkan kebijakan ini