Sikkerhet
Bug Bounty-program
ketl AS setter pris på sikkerhetsforskersamfunnets hjelp til å holde produktet trygt. Vi betaler belønning for ansvarlig avsløring av sikkerhetssårbarheter i ketl regnskap.
Ansvarlig avsløring
For å kvalifisere til belønning og safe harbor-beskyttelse, må du:
- Rapportere direkte til oss — ikke offentliggjøre før vi har rettet.
- Gi oss minst 90 dager til å rette kritiske / 120 dager for andre.
- Ikke aksessere data utover hva som er nødvendig for å bevise funnet.
- Ikke utføre DoS-angrep, sosial manipulering eller fysiske angrep.
- Handle i god tro og ikke forstyrre produktionstjenester.
Vi lover: (1) bekreftelse innen 24 timer, (2) initial triaging innen 3 virkedager, (3) utbetaling innen 30 dager etter bekreftelse.
Belønningsstruktur
RCE, SQL-injeksjon, auth-bypass, lekkasje av kundedata på tvers av tenants
Stored XSS, IDOR som eksponerer sensitive data, CSRF på kritiske funksjoner
Reflektert XSS, info-avsløring, feilaktig tilgangskontroll (ikke-sensitiv data)
Manglende security headers, fingerprinting, rate limiting-mangler
Endelig belønning fastsettes etter vår vurdering av CVSS-score, utnyttbarhet og faktisk risiko. Duplikater og out-of-scope belønnes ikke.
Scope
| Mål | Status | Beskrivelse |
|---|---|---|
| regnskap.ketl.cloud | In scope | Hoved-applikasjon (web) |
| api.ketl.cloud | In scope | REST API og Cloud Functions |
| status.ketl.cloud | In scope | Statussiden |
| *.ketl.cloud | In scope | Alle subdomain under ketl.cloud |
| Firebase/Firestore (infrastruktur) | Out of scope | Google-infrastruktur — rapporter til Google |
| Tredjeparts libraries | Out of scope | npm-pakker vi bruker — rapporter til oppstrøm |
| DoS/DDoS | Out of scope | Kapasitetstesting er ikke i scope |
| Social engineering | Out of scope | Phishing og manipulering er ikke i scope |
Send rapport
Send en e-post til security@ketl.no med:
- Beskrivelse av sårbarheten og potensiell impact
- Trinn for å reprodusere (PoC)
- Berørte URL-er og parametere
- Ditt foretrukne navn/alias for Hall of Fame (valgfritt)