P.T. Rekeningku Dotcom Indonesia berkomitmen untuk menjaga layanan tetap aman untuk seluruh pengguna. Untuk itu Celah Keamanan (Security) adalah prioritas utama. Kami terbuka untuk berkolaborasi dengan para periset keamanan demi mewujudkan hal tersebut.

Jika Anda adalah Periset Keamanan, dan menemukan celah keamanan pada sistem Rekeningku.com, jangan ragu untuk segera melaporkannya. Kami dengan senang hati akan berdiskusi dan bekerja sama untuk menyelesaikan masalah tersebut.

Sebagai wujud penghargaan kami terhadap partisipasi Anda, kami akan memberikan imbalan untuk setiap laporan celah keamanan yang dapat diproses. Nilai imbalan tergantung pada tingkat resiko dari celah keamanan yang dilaporkan. Keputusan pemberian imbalan bersifat mutlak.

Scope

  • Rekeningku.com Website
  • Rekeningku.com Android Apps
  • Rekeningku.com iOS Apps

Jenis Celah Keamanan

Seluruh laporan yang masuk akan kami proses, tetapi tidak semua laporan celah keamanan akan kami proses dan memperoleh imbalan, karena tergantung pada resiko yang ditimbulkan. Berikut perbedaannya:

Celah Keamanan yang Memperoleh Imbalan

Semua yang berhubungan dan berakibat pada bocornya kerahasiaan dan integritas data pengguna. Contoh:

  • Injection (SQL, NoSQL)
  • Cross-site Scripting (XSS)
  • Cross-site Request Forgery (CSRF)
  • Broken Access Control (IDOR)
  • Server-side code execution bugs (RCE)
  • Bypassing OTP for Untrusted Devices

Celah Keamanan yang Tidak Memperoleh Imbalan

Semua yang memiliki tingkat resiko rendah, Contoh:

  • DDOS & Dos attack (tapi dalam kasus tertentu akan diperhitungkan)
  • Semua celah keamanan yang melanggar aturan dan/atau di luar cakupan
  • Hanya memanfaatkan social engineering (Fraud, Phising, dll), Cross site-scripting (XSS) berisiko rendah atau berdampak pada akun Anda sendiri (Self-XSS)
  • Open redirects. Pada kasus tertentu, kami masih memproses jika memiliki risiko yang lebih tinggi. Misalnya, mampu melakukan pencurian otentikasi token
  • Celah yang memanfaatkan browser dan aplikasi versi lama, termasuk semua versi Internet Explorer
  • Missing cookie flags
  • Penggunaan akun karyawan (bekerjasama dengan karyawan)

Perhatian

Sebelum mencari celah keamanan, pastikan Anda mengikuti dan memahami beberapa peraturan dan informasi berikut:

  • Dilarang melakukan DDOS atau DOS attack ke Sistem Rekeningku.com
  • Pemeriksaan celah keamanan hanya menggunakan akun sendiri.
  • Berikan identitas Anda saat melapor
  • Dilarang membahayakan pengguna lain atau sistem
  • Dilarang untuk mempublikasikan temuan celah keamanan kepada khalayak umum tanpa seizin kami
  • Dilarang memanfaatkan celah keamanan yang ditemukan untuk kepentingan pribadi atau kelompok tertentu
  • Rekeningku.com tidak memberikan sanksi selama periset celah keamanan mematuhi peraturan kami
  • Dengan mengikuti program ini, Anda telah setuju untuk mematuhi semua hukum lokal dan internasional yang berlaku

Langkah Pelaporan

  • Kirim laporan melalui email ke [email protected] dengan subjek: [BUGBOUNTY] Judul Laporan. Contoh: [BUGBOUNTY] SQL Injection di Login Page
  • Pada body email, tuliskan jenis celah keamanan yang Anda temukan, dilanjutkan dengan penjelasan langkah-langkah yang diperlukan untuk reproduce (PoC) yang disertakan gambar, dokumen PDF, atau video
  • Silakan tunggu balasan dari kami

Contoh pelaporan yang baik:

Apakah artikel ini bermanfaat?
Yes10
No1