Gå til forsiden
Digital detective 2 original.png

Vipps setter stor pris på input fra sikkerhetsforskere som ønsker å hjelpe. Vi oppmuntrer til ansvarlig forskning og rapportering av sårbarheter. Hvis du oppdager en sårbarhet i noen av våre systemer eller tjenester, setter vi pris på om du vil rapportere det til oss slik at vi kan håndtere det så raskt som mulig.

Go to English page

Rapportere en sårbarhet

Hvis du har oppdaget noe du ønsker å rapportere, vennligst gjør følgende:

  • Send oss en e-post med funnet til responsible-disclosure@vipps.no. Fint om du kan kryptere e-posten for å beskytte innholdet. Vi foretrekker kryptering med PGP, du finner vår PGP-nøkkel nederst på siden.
  • Inkluder detaljer om hva du har funnet, hvordan du oppdaget det og legg ved skjermbilder og lignende dersom mulig. Se seksjonen under for tilleggsdetaljer som er nyttig å inkludere i rapporten.
  • Sørg for at du gir nok detaljer til at vi kan reprodusere problemet.
  • Ikke misbruk sårbarheten du har funnet.
  • Ikke publiser sårbarheten til andre før den er løst.

Tilleggsdetaljer om sårbarhet

  1. Produkt eller tjeneste hvor sårbarheten er funnet
    - Navn på produktet eller tjenesten
    - URL for produktet eller tjenesten
    - Versjon
    - Avvik fra standardkonfigurasjon
  2. Avvikende oppførsel forårsaket av sårbarheten
  3. Fremgangsmåte for reproduksjon av den sårbare tilstanden
  4. Sannsynligheten for reproduksjon, velg en av følgende tre:
    a. Alltid
    b. Ofte
    c. Sjelden
  5. Mulig trussel forårsaket av sårbarheten
  6. "Workaround"
  7. PoC (Proof of Concept) code
  8. Andre kommentarer fra rapporterer (inkludert vurdert alvorlighetsgrad / severity assessment)
  • Beskriv den spesifikke innvirkningen av sårbarheten og hvordan du ser for deg at den skal brukes i et angrepsscenario.
  • Tror du sårbarheten utnyttes? Ja/Nei
  • Er en utnyttelse av sårbarheten offentlig tilgjengelig? Ja/Nei

Scope

Vipps' tjenester, produkter og nettsider er i scope.

Følgende er på nåværende tidspunkt ikke i scope:

  • Volumetric/Denial of Service-sårbarheter (dvs. overvelde tjenesten vår med et høyt volum forespørsler).
  • Manglende best practice for e-post (ugyldige, ufullstendige eller manglende SPF / DKIM / DMARC records osv.).
  • Sårbarheter som krever MITM (Man in the Middle), eller fysisk tilgang til en brukers enhet eller konto.
  • Self-XSS.
  • Sosial manipulering og fysiske sikkerhetsangrep.
  • Brute force angrep.
  • SSL/TLS konfigurasjonssvakheter.
  • CSV/formula injection.
  • Clickjacking og andre problemer som bare kan utnyttes gjennom clickjacking.
  • Spoofing angrep.

Vis hensyn når du tester våre tjenester, da mange av dem kjøres i skyen, side om side med andre tjenester og leverandører. Vi ønsker ikke at disse skal bli negativt berørt av testing mot våre tjenester.

Phishing

Hvis du vil rapportere saker med mistenksomme e-poster som tilsynelatende kommer fra Vipps, kan du videresende e-posten til phishing@vipps.no. Hvis du har spørsmål eller kommentarer om rapporteringsprosessen, kan du kontakte oss her.

Bug Bounty

På nåværende tidspunkt tilbyr vi ikke et betalt “Bug Bounty Program”. Som en takk til dere som rapporterer etter kriteriene som er satt, vil vi derfor gi en symbolsk belønning.

Kriterier for belønning

Rapporter som møter følgende kriterier gis en individuell vurdering hos oss, og kan  kvalifisere for en belønning:

  • Medium eller høyere alvorlighetsgrad (dette vurderes av vårt sikkerhetsteam).
  • Sikkerhetsteamet vårt kan reprodusere og verifisere problemet.
  • Sårbarheten er ikke allerede rapportert til oss.

Sikkerhetsforskere som har brukt mye tid og innsats på å undersøke og rapportere til oss kan også kvalifisere for belønning, da vi ønsker å anerkjenne din innsats.

Forventninger

Når du rapporterer sårbarheter til oss, kan du forvente at vi:

  • Sender deg en automatisk bekreftelse på mottatt rapport.
  • Gir deg et manuelt svar innen rimelig tid når vi er i gang med å vurdere rapporten, og senest innen en arbeidsuke.
  • Jobber med deg for å forstå og validere problemet.
  • Håndterer rapporten din på en konfidensiell og sikker måte.
  • Anerkjenner din innsats for å forbedre sikkerheten.

Ground Rules

Vi vil ikke ta rettslige skritt mot sikkerhetsforskere som rapporterer sine funn på en forsvarlig måte til oss ved å følge instruksjonene i dette dokumentet. Vi ber deg om å:

  • Følge reglene og retningslinjene i denne policyen.
  • Ikke krenk andres personvern ved f.eks. dele eller ikke sikre data på riktig måte.
  • Forsøk aldri å få tilgang til en annen persons konto eller informasjon.
  • Rapporter umiddelbart eventuelle sårbarheter du finner til oss som beskrevet i dette dokumentet.
  • Ikke publiser sårbarheter eller andre detaljer til andre enn din kontakt i Vipps sikkerhetsteam.
  • Gi sikkerhetsteamet vårt rimelig tid til å løse problemet.

Offentlig PGP-nøkkel

Security Hall of Fame

Se hvem som har bidratt til å holde Vipps sikkert

Tilbake