At Leaseweb, we consider the security of our systems a top priority. But no matter how much effort we put into system security, there can still be vulnerabilities present. No technology is perfect, and Leaseweb believes that working with skilled security researchers across the globe is crucial in identifying weaknesses in any technology. If you believe you have identified a security issue in our product or service, we encourage you to notify us. We welcome working with you to resolve the issue promptly.

Directives de divulgation responsable

  • Let us know as soon as possible upon discovery of a potential security issue, and we will make every effort to quickly resolve the issue.
  • Provide us a reasonable amount of time to resolve the issue before any disclosure to the public or a third-party.
  • Only use official communication channels: Do not use personal emails, social media accounts, or other private connections to contact a member of a security team in regards to vulnerabilities or any program related issues, unless you have been instructed to do so by the program.
  • Ne parlez pas au nom d’une autre personne sans autorisation : aucune tentative non autorisée de manipuler une autre partie en se faisant passer pour un employé de Leaseweb, un autre pirate ou une équipe de sécurité ne sera tolérée.
  • If you comply with all conditions set in the guidelines, we will not take any legal action against you regarding this report.
  • Your report will be confidential, we will not share your personal information with third parties without prior consent, unless this is necessary to comply with a legal obligation.

Récompenses

Pour montrer notre reconnaissance aux chercheurs en sécurité responsables, Leaseweb offre des récompenses pour le signalement de certaines failles de sécurité. Ces récompenses seront remises sous la forme de compensations financières ou de produits Leaseweb. The amount that is rewarded per bounty is at discretion of Leaseweb and will be based on the internal severity rating of the disclosed vulnerability. La récompense sera communiquée après validation de la faille de sécurité par nos équipes internes.

Éligibilité

Pour prétendre à une récompense, vous devez :

  1. Be the first reporter of the vulnerability.
  2. Follow the guidelines as described on this page.
  3. Not publicly disclose the vulnerability prior to our resolution.
  4. Provide a working proof of concept that exploits the security issue
  5. Utiliser uniquement des comptes que vous avez créés et ne pas accéder aux données d’autres utilisateurs
  6. Ne pas résider dans un pays figurant sur la Liste des ressortissants spécialement désignés et des personnes bloquées (SDN)
  7. Not be an inhabitant of any country listed on the Consolidated List of persons, groups and entities subject to EU Financial Sanctions list.

Exclusions

Lors de vos recherches, nous vous demandons d’éviter :

  • Toute ingénierie sociale (y compris l’hameçonnage) des entreprises collaborant avec Leaseweb ou du personnel de celle-ci
  • Toute atteinte physique à la propriété ou aux datacenter de Leaseweb
  • Toute attaque physique de l’infrastructure
  • Tout déni de service
  • Toute attaque de type CSRF sur la connexion/déconnexion
  • Toute attaque de type Self-XSS (nous demandons des preuves de la façon dont le XSS peut être utilisé pour attaquer un autre utilisateur Leaseweb)
  • Tout manquement au rate limiting (limites de flux)
  • Les signalements issus d’outils et analyses automatisés
  • Les signalements de bugs dans un logiciel tiers
  • Les signalements en lien avec l’en-tête X-Frame-Options
  • Les signalements de cookies manquants sur les cookies non sensibles
  • Les signalements d’en-têtes de sécurité manquants qui ne mènent pas directement à une faille (sauf si vous fournissez une preuve de concept)
  • Les signalements de problèmes DKIM/SPF/DMARC (nous sommes conscients qu’ils sont manquants et nous travaillons à la résolution du problème)
  • Toute exposition de la version (sauf si vous livrez la preuve de concept d’un exploit fonctionnel)
  • Les signalements de listes de répertoires avec un contenu publiquement lisible
  • Toute usurpation de contenu sur les pages d’erreur ou injection de texte

Comment réaliser un signalement

Envoyez vos découvertes à security@leaseweb.com. Vous pouvez utiliser notre clé PGP pour chiffrer votre message si besoin. Vous la trouverez ici.

Thank you for helping keep Leaseweb and our users safe!