Untuk panduan dalam melaporkan kerentanan keamanan kepada Semudahitu, harap merujuk pada kebijakan pengguna, yang harus dibaca dalam konteks Syarat dan Ketentuan Semudahitu.

Jika Anda menemukan kerentanan pada salah satu produk Semudahitu (misalnya, dashboard, API, ekstensi Chrome, dll.), kami mendorong Anda untuk segera mengirimkan laporan kepada kami dan tidak menyebarluaskan informasi tersebut hingga perbaikan selesai dilakukan serta diverifikasi oleh tim Semudahitu.

Kami sangat menghargai kontribusi komunitas dalam melaporkan kerentanan, namun, tidak ada kompensasi yang akan diberikan.

Semudahitu tidak akan mengambil tindakan hukum terhadap Anda atau melaporkan Anda kepada pihak berwenang, asalkan laporan disampaikan dengan bertanggung jawab dan memenuhi kriteria berikut.

Panduan Pengungkapan

1. Laporkan kerentanan kepada tim Semudahitu dan berikan semua detail yang Anda miliki.
2. Berikan informasi yang cukup untuk mengidentifikasi dan mereproduksi masalah, seperti produk, versi, URL, permintaan/respons, tangkapan layar, dll.
3. Berikan waktu yang wajar bagi tim Semudahitu untuk memperbaiki atau menangani masalah sebelum dipublikasikan.
4. Dalam penelitian Anda, hindari tindakan yang dapat mengganggu layanan, mengakses data pengguna pribadi, atau merusak data pengguna.
5. Jangan mengirimkan laporan dari alat pemindaian eksploitasi otomatis tanpa terlebih dahulu memastikan bahwa masalah tersebut benar-benar ada.
6. Jangan menghubungi karyawan atau pengguna Semudahitu untuk tujuan phishing atau rekayasa sosial.

Jenis Kerentanan yang Dicari

Kami tertarik untuk menerima laporan terkait kategori kerentanan berikut:

1. SQL Injection
2. Cross-Site Scripting (XSS)
3. Cross-Site Request Forgery (CSRF)
4. Bypass Autentikasi
5. Referensi Objek Langsung yang Tidak Aman
6. Eksekusi Kode Jarak Jauh
7. Eksposur Data Sensitif

Jenis Kerentanan di Luar Ruang Lingkup

Kategori berikut ini tidak termasuk dalam ruang lingkup program ini dan tidak perlu dieksplorasi:

1. Serangan Denial of Service (DoS)
2. Kerentanan SSL (misalnya, salah konfigurasi atau versi yang digunakan)
3. Serangan brute force
4. Enumerasi pengguna
5. Kesalahan konfigurasi flag pada cookie yang tidak sensitif
6. Logout CSRF
7. Masalah yang hanya muncul pada browser atau plugin yang sudah usang
8. Clickjacking pada halaman tanpa autentikasi atau perubahan status yang sensitif
9. Kerentanan yang hanya dapat terjadi jika pengguna melakukan tindakan yang sangat tidak mungkin dilakukan (misalnya, menonaktifkan fitur keamanan browser, mengirimkan informasi penting kepada peretas, dll.)

Cara Melaporkan Kerentanan

Harap diperhatikan bahwa meskipun kami sangat menghargai upaya Anda, tidak ada kompensasi yang dijamin diberikan dan setuju untuk tidak membagikan temuan kepada pihak ketiga. Temuan dapat dikirimkan melalui email [email protected].