Datasikkerhed har høj prioritet hos ClassPass, og ClassPass mener, at samarbejde med dygtige, eksterne sikkerhedsforskere er en vigtig måde at identificere svagheder i vores software på.
Hvis du mener, at du har opdaget en sikkerhedssårbarhed i tjenesten fra ClassPass, beder vi dig give os besked, så vi kan arbejde sammen med dig om at løse problemet hurtigt.
Vi værdsætter de personer, der bruger tid og kræfter på at rapportere sikkerhedssårbarheder, så derfor tilbyder vi en økonomisk belønning for oplysninger om sårbarheder.
Oplysningspolitik
Hvis du mener, at du har opdaget en potentiel sårbarhed, bedes du fortælle os om den ved at sende en e-mail til security@classpass.com. Vi bekræfter modtagelsen af din e-mail inden for 5 hverdage.
I rapporten skal du medtage oplysninger om:
- Hjemmesiden, IP-adressen eller siden, hvor sårbarheden kan observeres.
- En kort beskrivelse af sårbarhedstypen
- Trin til at genskabe den. Disse skal bestå af et godartet, ikke-destruktivt proof-of-concept. Dette hjælper os med at sikre, at rapporten kan behandles hurtigt og præcist.
Giv os et rimeligt tidsrum til at løse problemet, før du afslører det for offentligheden eller en tredjepart. Det er vores mål at løse kritiske problemer inden for 30 dage efter rapportering. Vi undersøger problemet for at sikre, at det ikke allerede er rapporteret og for at klassificere alvorligheden ved sårbarheden. Når undersøgelsen er gennemført, forudsat af sårbarheden er unik, udbetaler vi en belønning baseret på sårbarhedens alvorlighed via PayPal.
Gør et forsøg i god tro for at undgå at krænke privatlivets fred, ødelægge data og forstyrre eller forringe tjenesten fra ClassPass. Du må kun anvende konti, som du ejer eller har fået udtrykkelig tilladelse fra kontoindehaveren til at bruge. Du må ikke forsætligt overtræde gældende love eller regler, herunder (men ikke begrænset til) love og regler, der forbyder uautoriseret adgang til data.
Undtagelser
Når du laver undersøgelser, beder vi dig om at afholde dig fra:
- Distributed Denial of Service (DDoS)
- Spamming
- Social engineering eller phishing af ClassPass' medarbejdere og leverandører
- Ethvert angreb mod ClassPass' fysiske ejendom eller datacentre
- Ethvert angreb mod vores slutbrugere og deltagelse i handel med stjålne brugeroplysninger. Brug ikke lækkede eller kompromitterede konti, der tilhører andre. Sårbarheder, der opdages ved hjælp af lækkede eller kompromitterede konti, bliver diskvalificeret.
Tak, fordi du hjælper med at holde ClassPass og vores kunder sikre!
Ændringer
Vi kan revidere disse retningslinjer fra tid til anden. Den nyeste version af retningslinjerne vil altid være til rådighed på https://classpass.com/vulnerability-disclosure.
Kontakt
ClassPass er altid modtagelig over for feedback, spørgsmål og forslag. Hvis du ønsker at kontakte os, er du velkommen til at sende os en e-mail på security@classpass.com.