Introduction
Dolby prend très au sérieux les vulnérabilités et les problèmes de sécurité. Nous encourageons la communauté à signaler les vulnérabilités et incidents possibles en privé et de manière responsable.
Les paragraphes suivants décrivent la manière dont Dolby traite la divulgation de vulnérabilités potentielles ainsi que ce à quoi il faut s'attendre lorsqu'une divulgation est faite.
Notre objectif est de traiter les problèmes légitimes signalés aussi rapidement et efficacement que possible, mais le traitement des problèmes divulgués peut ne pas être aussi simple et direct qu'on pourrait le penser. Si certains problèmes peuvent être analysés et résolus rapidement, d'autres peuvent être plus complexes ou avoir un impact plus large qui nécessite un travail plus minutieux en coulisses.
Processus de divulgation responsable
Tout au long du processus de déclaration, nous nous efforcerons de préserver la confidentialité de toutes les informations et de travailler avec l'entité divulgatrice pour nous assurer de bien comprendre le problème et de le traiter correctement.
Nous demandons que :
- Vous agissiez en toute honnêteté et identifiiez les problèmes de manière justifiée.
- Vous ne tentiez pas de compromettre des comptes ou des données.
- Vous ne tentiez pas d'interrompre ou de dégrader nos services ou d'avoir un impact sur la stabilité de la plateforme (attaques par déni de service, etc.).
- Les problèmes nous soient divulgués en privé, et que nous disposions d'un délai raisonnable pour y répondre.
- Vous ne révéliez aucune information publiquement avant que nous ayons pu comprendre tout impact et réduire tout risque potentiel.
Lorsque des problèmes nous sont signalés, nous nous efforçons d'accuser réception du rapport dès que possible et d'enquêter rapidement sur le problème.
Signalements
Veuillez fournir les informations suivantes, si possible :
- Les étapes exactes de la reproduction, en format texte uniquement !
- URL et paramètres démontrant la vulnérabilité (le cas échéant).
- Tous les détails pertinents de la configuration de votre système.
- Votre adresse IP et votre compte Dolby, pour qu'ils correspondent à nos journaux.
- Veuillez ne pas envoyer de pièces jointes exécutables.
Si vous devez partager des informations sensibles, veuillez nous contacter et nous coordonnerons un transfert crypté.
Exclusions
Vous trouverez ci-dessous une liste non exhaustive d'exemples qui ne sont pas considérés comme des problèmes valables :
- Énumération des utilisateurs ou des comptes.
- Configurations / politiques des meilleures pratiques (c'est-à-dire DMARC, enregistrements SPF, etc.)
- Un POC qui dépend de l'exécution d'une attaque de type man-in-the-middle (MITM).
- Usurpation d'email.
- Clickjacking ou autres techniques similaires.
Veuillez noter qu'il ne s'agit que de quelques exemples courants. Dolby se réserve le droit de déterminer ce qui est considéré comme une soumission valide et la prime éventuelle.
Merci !
Merci de divulguer de manière responsable les vulnérabilités et les préoccupations. Nous respectons la communauté des chercheurs en matière de sécurité et nous apprécions les efforts déployés pour divulguer de façon responsable.