Horde logo
Hvem er Horde Plus?

Retningslinjer for ansvarlig rapportering av sårbarheter

Horde Plus AS verdsetter tilbakemeldinger fra sikkerhetsforskere og allmennheten for å hjelpe oss med å forbedre vår sikkerhet. Hvis du mener du har oppdaget en sårbarhet, personvernsbrudd, eksponerte data eller andre sikkerhetsproblemer i noen av våre systemer, vil vi høre fra deg. Denne policyen kartlegger trinn for rapportering av sårbarheter til oss, hva vi forventer, og hva du kan forvente fra oss.

Disse retningslinjene er basert på maler fradisclose.io

Omfang

Disse retningslinjene gjelder for alle digitale eiendeler som eies, drives eller vedlikeholdes av Horde Plus AS.

"Out of scope"

  • Eiendeler eller annet utstyr som ikke eies av parter innebefattet i denne policyen.

  • Sosial manipulering, fysiske sårbarheter.

  • Funn fra automatiserte verktøy uten konseptbevis.

  • Host header injeksjon uten praktiske konseptbevis.

  • Manglende konfigurasjon etter "beste praksis" for e-post (feilkonfigurert eller manglende SPF/DKIM/DMARC, e.l.).

  • Sårbarheter som krever MITM (Man-in-the-Middle), eller fysisk tilgang til en brukers nettleser, e-post - konto eller enheter.

  • Manglende konfigurasjon etter "beste praksis" for Content Security Policies.

  • Manglende konfigurasjon etter "beste praksis" for SSL/TLS.

  • Volumetriske/"Denial of Service" sårbarheter.

  • Etterligning av innhold og injeksjon av tekst uten å kunne påvise en angrepsvektor.

  • Self-XSS.

  • Velkjente sårbarheter i programvare eller kodebibliotek uten praktiske konseptbevis.

  • "Clickjacking" av innhold som ikke berører sensitivt innhold eller endepunkt.

  • Mangel på kvotebegrensning på ikke-kritiske endepunkt.

  • Feil ved UI/UX, stave- eller grammatiske feil.

Sårbarheter som er oppdaget eller mistenkt i systemer som ikke er innebefattet av omfanget vårt, bør rapporteres til den aktuelle leverandøren eller relevant autoritet.

Våre forpliktelser

Når du samarbeider med oss i henhold til disse retningslinjene, kan du forvente at vi vil:

  • Svare på rapporten din innenfor rimelig tid og samarbeide med deg for å forstå og validere rapporten din.
  • Strebe etter å holde deg informert om fremdriften av en løsning når en sårbarhet behandles.
  • Jobbe for å utbedre oppdagede sårbarheter innefor akseptable tidsrammer, innenfor våre operative begrensninger.
  • Tilby juridisk garanti for din sårbarhetsforskning som følger disse retningslinjene.

Våre forventninger

Ved å bidra med sårbarhetsavsløringer som følger disse retningslinjene, ber vi deg om å:

  • Følge reglene, inkludert å følge disse retningslinjene og alle andre relevante avtaler. Skulle det oppstå motsigelser pga. forskjeller mellom retningslinjene og andre gjeldende vilkår, vil vilkårene i denne teksten gjelde.
  • Rapportere enhver sårbarhet du har oppdaget raskt.
  • Unngå å krenke andres personvern, forstyrre eller forhindre våre systemers tilgjengelighet, ødelegge data og/eller skade brukeropplevelsen.
  • Bruk kun de godkjente kommunikasjonskanalene for å diskutere sårbarhetsinformasjon med oss.
  • Gi oss rimelig tid til å utbedre sårbarheter før en ev. offentliggjøring.
  • Utfør testing kun på systemer innenfor overnevnte omfang og respekter systemer og tjenester som faller utenfor dette.
  • Om en sårbarhet gir utilsiktet tilgang til data: Begrens mengden data du får tilgang til til det absolutte minimum som kreves for å effektivt kunne demonstrere dette, og avslutt testingen; send inn en rapport umiddelbart hvis du oppdager ukjent brukerdata under testing, f.eks. personlig identifiserbar informasjon (PII), personlig helseinformasjon, kredittkortdata eller annen sensitiv finansiell data.
  • Du bør kun benytte testkontoer du selv eier, eller med uttrykkelig tillatelse fra en ev. kontoeier.
  • Ikke utføre eller delta i: utpressing, svindel, eller andre former for ulovlig uberettiget personlig vinning.

Offisielle kanaler

Vennligst rapporter dine funn tildenne e-postadressenmed all relevant informasjon. Jo flere detaljer du gir oss, jo lettere vil det være for oss å detektere/feilsøke og utbedre ev. sårbarheter. security.txt PGP krypteringsnøkkel

security.txt

PGP krypteringsnøkkel

Juridisk garanti

Når du utfører sårbarhetsforskning i henhold til disse retningslinjene anser vi denne forskningen for å være:

  • Autorisert med hensyn til eventuelle gjeldende anti-hacking - lover, og vi kommer ikke til å iverksette eller assistere i juridiske tiltak mot deg for utilsiktet godtroende brudd på våre retningslinjer.
  • Autorisert med hensyn til eventuelle relevante anti-omgåelses - lover, og vi kommer ikke til å fremme krav mot deg på bakgrunn av omgåelse av våre tekniske kontroller.
  • Fritatt fra restriksjoner i våre tjenestevilkår (TOS) som ville påvirket utførelsen av sikkerhetsforskningen, og vi fraskriver disse restriksjonene på et saksbegrenset grunnlag.
  • Lovlig, nyttig for den generelle sikkerheten på Internett, og utført i god tro.

Du forventes som alltid å overholde alle gjeldende lover. Om en tredjepart tar juridiske grep mot deg og du har overholdt disse retningslinjene, vil vi ta selv ta grep for å fremheve at dine handlinger ble utført i god tro i samsvar med disse.

Dersom du på noe tidspunkt er i tvil på om din sikkerhetsforskning ikke er i henhold til denne policyen, oppfordrer vi deg til å ta kontakt med oss på godkjente kanaler før du utfører videre forskning.

Merk at den juridiske garantien kun gjelder juridiske krav under kontroll av Horde Plus AS & Horde AS i denne policyen, og at retningslinjene ikke gjelder andre uavhengige tredjeparter.

🇬🇧 English
Horde Plus logo

En horde av assistenter til tjeneste

Tjenesten leveres av Horde Plus, et datterselskap av Horde
Juridisk
BrukervilkårPersonvernerklæringInformasjonskapslerAnsvarlig rapportering
Kontakt
Horde Plus ASOrg. nr. 931 272 403 Lars Hilles gate 20A 5008 Bergen
support@hordeplus.no© 2025 Horde Plus AS