[DISCLOSURE_POLICY]

À propos

Je suis awhacken, chercheur indépendant en cybersécurité basé à Montréal, Canada. Je fais de la recherche de vulnérabilités sur des applications web et des APIs, dans le cadre de programmes de bug bounty autorisés et, occasionnellement, de divulgations responsables ad hoc lorsque je découvre des problèmes de sécurité affectant de vrais utilisateurs.

Cette page décrit comment je gère les divulgations, à quoi vous attendre quand je contacte votre équipe, et comment vérifier que mes communications viennent bien de moi.

Périmètre de mes recherches

• •Je me concentre sur la sécurité des applications web et des APIs
• •Je ne teste que des systèmes sur lesquels j'ai une autorisation (périmètre bug bounty, programmes publics, ou ma propre infrastructure)
• •Pour les divulgations ad hoc (services sans programme formel), je limite mes tests au strict minimum nécessaire pour confirmer et documenter la vulnérabilité
• •Je n'accède pas, ne copie pas, n'exfiltre pas et ne conserve pas de données utilisateurs réelles au-delà du strict nécessaire pour démontrer l'impact

Comment je divulgue

Quand j'identifie une vulnérabilité en dehors d'un programme de bug bounty formel, mon processus est :

1. Arrêter les tests immédiatement une fois le problème confirmé
2. Documenter au minimum — uniquement ce qui est nécessaire pour reproduire et évaluer l'impact
3. Contacter l'organisation concernée en privé via leur contact sécurité, leur security.txt, ou un contact senior sécurité/ingénierie
4. Fournir les détails techniques sur un canal chiffré (Signal, ou le canal de votre choix)
5. Coordonner une timeline de remédiation — par défaut 90 jours après le fix avant divulgation publique, ajustable selon la complexité
6. Divulgation publique uniquement après remédiation, et seulement avec des détails qui ne laissent pas les utilisateurs exposés à un risque résiduel

Ce à quoi vous pouvez vous attendre

• •Une communication claire et professionnelle
• •Une preuve de concept reproductible
• •Une timeline de divulgation raisonnable et flexible
• •Confidentialité concernant la vulnérabilité jusqu'à ce que la remédiation soit complète
• •Aucune discussion publique du problème sans coordination
• •Aucune exigence, menace ou tactique de pression — la divulgation est collaborative

Ce que je demande en retour

• •Un accusé de réception dans un délai raisonnable (typiquement 5 jours ouvrables)
• •Un engagement de bonne foi sur la remédiation
• •L'autorisation de publier un writeup assaini après le déploiement du fix et la notification des utilisateurs affectés (le cas échéant)
• •Optionnel : un crédit dans vos remerciements / hall of fame sécurité

Ce que je NE fais PAS

• ✗Accéder à ou télécharger des données utilisateurs au-delà du minimum nécessaire pour démontrer l'impact
• ✗Vendre, partager ou publier les détails d'une vulnérabilité avant remédiation
• ✗Utiliser des vulnérabilités à des fins de gain personnel, d'extorsion, ou de tout autre but malveillant
• ✗Tester du déni de service, de l'ingénierie sociale, ou des attaques physiques
• ✗M'engager sur des vulnérabilités nécessitant des identifiants que je n'ai pas légitimement

Contact

• •Email : disclosure@thebughunter.blog
• •security.txt : https://thebughunter.blog/.well-known/security.txt

Vérifier que c'est bien moi qui vous écris

Si vous recevez un message prétendant venir de moi à propos d'un problème de sécurité :

• •Il viendra d'une adresse @thebughunter.blog
• •Il fera référence à cette politique de divulgation
• •Je ne demanderai jamais de paiement, je ne demanderai jamais d'identifiants, et je ne mettrai jamais de pression pour une action urgente en dehors d'une timeline de remédiation coordonnée

Si quelque chose vous semble suspect, vérifiez en écrivant directement à disclosure@thebughunter.blog.