Bertujuan untuk membantu tim menemukan masalah bug guna menutup celah keamanan untuk keseluruhan sistem yang ada. Beberapa hal yang dapat dilaporkan sesuai dengan peraturan yang berlaku adalah kebocoran data, akses terhadap data, gangguan, dan masalah kinerja.

Imbalan & Hadiah

Program Bug Bounty LINUXENIC Corporation menghargai upaya para security researchers dan mengakui kontribusi mereka dengan Sertifikat Penghargaan. Sertifikat ini diberikan untuk kerentanan valid yang diidentifikasi dalam lingkup yang ditentukan, dengan evaluasi dan penerbitan atas kebijakan Tim Bug Bounty. Kami berkomitmen untuk melakukan komunikasi yang cepat, evaluasi yang menyeluruh, dan menjaga kerahasiaan selama proses berlangsung.

SCOPE

Laporan bug harus berfokus pada kerentanan dalam: *.linuxenic.com

Out-of-Scope Vulnerabilities

Jenis kerentanan yang TIDAK TERMASUK dalam cakupan pelaporan, mohon untuk tidak menguji dan/atau melaporkan jenis kerentanan yang disebutkan:

• DOS / DDOS
• Self-XSS
• Kerentanan yang hanya bersifat teoretis tanpa bukti nyata.
• Header Keamanan yang Hilang (Missing Security Header)
• Rekayasa Sosial (Social Engineering)
• Cross-site Request Forgery (CSRF) pada fitur yang tidak sensitif atau berdampak minimal, seperti CSRF Logout.
• Clickjacking pada halaman yang tidak sensitif.
• Email Spoofing dan/atau kesalahan konfigurasi email terkait seperti Catatan DMARC dan SPF.
• Praktik terbaik SSL/TLS (SSL/TLS best practices)
• Port terbuka tanpa dampak yang valid.

Kebijakan & Aturan Keterlibatan

Aturan Bug Bounty

• Patuhi semua syarat & ketentuan yang berlaku.
• Jangan melakukan pengujian yang dapat menyebabkan gangguan terhadap aktivitas pengguna aplikasi yang sah, misalnya mengubah, mengakses, dan/atau berinteraksi dengan akun pengguna lain tanpa persetujuan pemilik akun.
• Jangan melakukan pengujian yang dapat menyebabkan gangguan pada layanan sistem elektronik yang sedang diuji, misalnya melakukan Serangan Penolakan Layanan (Denial-Of-Service).
• Jangan mengeksploitasi lebih lanjut kerentanan yang ditemukan, meskipun tujuannya adalah untuk menunjukkan risiko terbesar. Misalnya dengan melakukan eksfiltrasi data, mengubah konfigurasi, berpindah ke sistem lain (pivoting), dan sebagainya. Cukup lakukan Pembuktian Konsep (Proof-Of-Concept) untuk memastikan kerentanan yang ditemukan valid.
• Jangan mempublikasikan informasi kerentanan apa pun tanpa persetujuan dari penyelenggara Bug Bounty LINUXENIC Corporation, sebagaimana diuraikan dalam Kebijakan Publikasi.
• Laporkan setiap tanda-tanda kompromi, kebocoran data, atau ketidaktersediaan layanan sistem elektronik yang diuji (Denial of Service) kepada pihak terkait yang terlibat dalam program bug bounty.

Aturan Pelaporan Bug

• Peserta melaporkan kerentanan hanya melalui saluran komunikasi yang telah ditentukan, dalam hal ini melalui situs web linuxenic.com/bug-bounty.
• Laporkan kerentanan secara detail, sesuai dengan format dan ketentuan yang telah ditetapkan.
• Pengujian hanya boleh dilakukan pada target sistem elektronik yang ditentukan secara eksplisit dari setiap program penemuan kerentanan.
• Pastikan kiriman Anda berada dalam cakupan dan aturan yang ditentukan; hanya kerentanan yang terkait dengan domain *.linuxenic.com yang akan diterima. Kiriman di luar cakupan ini tidak akan dipertimbangkan.
• Saat mengirimkan laporan kerentanan, pastikan nama lengkap Anda disertakan dalam kiriman. Hal ini penting karena nama yang diberikan akan digunakan untuk menerbitkan sertifikat penghargaan dari LINUXENIC Corporation.

Cara Melaporkan Bug

Jika Anda yakin telah menemukan kerentanan keamanan, silakan kirim laporan dengan mengirim email ke hello@linuxenic.com dengan detail berikut:

• Jenis kerentanan
• Langkah-langkah detail untuk mereproduksi masalah (video, tangkapan layar)
• Cakupan sistem yang terpengaruh
• Nama pengguna LINUXENIC Corporation Anda
• Rekomendasi CVE yang terlibat
• Rekomendasi Mitigasi

Setiap laporan ditinjau secara individual, dan kelayakan ditentukan berdasarkan tingkat keparahan dan dampaknya. Setelah laporan ditandai sebagai valid, laporan tersebut akan dipindahkan ke proses peninjauan internal. Waktu yang diperlukan untuk respons dapat bervariasi, dan mungkin perlu beberapa saat sebelum Anda menerima pembaruan, karena tim mengevaluasi setiap kasus dengan cermat.

Potensi Imbalan

LINUXENIC Corporation menghargai pengungkapan yang bertanggung jawab dan dapat menawarkan imbalan untuk laporan yang valid. Ini ditentukan berdasarkan kasus per kasus dan dapat mencakup:

• Imbalan uang, nominal tergantung skor CVSS
• Voucher Premium LINUXENIC Corporation 1 Tahun yang bisa dijual kembali

Kami menghargai upaya Anda dalam membantu menjaga LINUXENIC Corporation tetap aman. Terima kasih atas kontribusi Anda!

– LINUXENIC Corporation Team