ThoughtSpot fonde la relation avec chacun de ses clients sur la confiance. Nous sommes convaincus que la confidentialité est un droit fondamental et à ce titre, la confidentialité et la sécurité de leurs informations sont au cœur de nos priorités.
ThoughtSpot prend la cybersécurité au sérieux et a parfaitement conscience de la valeur des contributions de la communauté en la matière. La divulgation responsable de vulnérabilités potentielles nous aide à assurer la sécurité et la confidentialité des données de nos clients. Toutes les vulnérabilités potentielles qui nous sont communiquées doivent être accompagnées de suffisamment d'informations pour nous permettre de les reproduire et les confirmer. Les documents fournis doivent inclure une présentation détaillée du problème, les objectifs de la procédure, les étapes suivies, des captures d'écran, les outils utilisés et toute information pouvant nous aider à reproduire la vulnérabilité lors du processus de tri.
Nous demandons aux chercheurs en sécurité de nous laisser le temps de corriger les vulnérabilités qu'ils nous soumettent avant de diffuser des informations les concernant. ThoughtSpot ne lancera aucune action en justice contre les chercheurs qui suivent les directives ci-dessous et nous communiquent de manière responsable et directe les vulnérabilités de sécurité qu'ils ont découvertes. ThoughtSpot reste en revanche prêt à exercer ses droits légaux en cas de non-respect des directives du présent programme.
Ne vous engagez dans aucune activité susceptible de nuire ou nuisant à ThoughtSpot, ses clients ou ses employés.
Ne vous engagez dans aucune activité susceptible d'interrompre ou d'altérer les services ou ressources de ThoughtSpot.
N'exploitez pas les vulnérabilités découvertes, par exemple en téléchargeant/consultant plus de données que nécessaire pour prouver la réalité de la vulnérabilité, en accédant à des données tierces, ou en supprimant ou modifiant des données. Si une vulnérabilité vous donne un accès inattendu à des données, n'accédez pas à ces données plus que nécessaire pour prouver sa réalité. Si vous identifiez des données à haut risque lors de vos tests, par exemple des données personnelles, des informations de santé protégées ou encore des informations de carte bancaire ou autres informations confidentielles, veuillez cesser vos tests et nous faire parvenir un rapport immédiatement.
Ne stockez, ne partagez, ne compromettez et ne détruisez pas les données de ThoughtSpot. Si vous identifiez des données personnelles, interrompez immédiatement votre activité, purgez les données concernées de votre système et contactez ThoughtSpot sans délai à l'adresse [email protected]. Ce processus a pour but de protéger des données potentiellement vulnérables, mais aussi vous-même.
Ne vous engagez dans aucune activité qui viole : (a) la loi ou la réglementation applicable au niveau fédéral ou de l'État, ou (b) la loi ou la réglementation de tout pays dans lequel (i) résident les données, ressources ou systèmes, (ii) sont acheminées les données ou (iii) le chercheur mène ses activités.
Toutes les informations liées aux vulnérabilités dont vous prenez connaissance dans le cadre du Programme de divulgation responsable sont considérées comme confidentielles (« Informations confidentielles »). Vous acceptez de ne pas divulguer d'Informations confidentielles publiquement ou à des tiers, et reconnaissez que toute information liée à ThoughtSpot que vous pouvez découvrir, consulter, acquérir ou à laquelle vous accédez est la propriété de ThoughtSpot, ses clients ou ses fournisseurs tiers. Vous ne disposez d'aucun droit ni titre, de propriété ou autre, sur ces informations. Vous acceptez d'accéder à toute requête de notre Équipe de sécurité des informations demandant le retour ou la destruction rapide de toutes les copies des Informations confidentielles et notes liées aux Informations confidentielles dont vous disposez.
Tout test ou rapport créé par vous vaut acceptation de l'ensemble des dispositions du programme.
Nous nous intéressons tout particulièrement aux types de vulnérabilités ci-dessous, dont la découverte vous sera créditée après validation :
Exécution de code à distance (RCE)
Injection SQL
Injection d'entités externes XML (XXE)
Contournement d'autorisation/escalade
Fuite d'informations sensibles
Cross-site scripting (XSS)
Cross-site request forgery (CSRF)
Autres vulnérabilités à la seule discrétion de ThoughtSpot
La liste ci-dessous répertorie une partie des problèmes que nous vous demandons de ne pas nous signaler, sauf si vous estimez qu'il s'agit d'une véritable vulnérabilité :
Self-XSS
CSRF de connexion/déconnexion
Problème de configuration CSRF sans preuve de concept exploitable
En-têtes de sécurité manquants n'entraînant pas directement une vulnérabilité
Vulnérabilités de composants tiers, selon leur gravité et leur caractère exploitable
Limitation du nombre d'e-mails envoyés lors de l'inscription, la connexion et les changements d'adresse
Absence d'invalidation de liens de connexion envoyés par e-mail lors de l'envoi de plusieurs liens de connexion
Non-suppression des données EXIF lors de l'envoi d'images, sauf si ces données sont détectables en dehors de l'espace de travail
Déni de service (DOS) et problème de limitation de débit
Bugs provoqués par des interactions utilisateur hautement improbables
Attaques basées sur de l'ingénierie sociale
Anomalies touchant les utilisateurs de navigateurs et plug-ins obsolètes
Énumération ou divulgation d'informations non sensibles
Énumération d'informations dans le contexte d'un seul espace de travail
Absence de validation des saisies utilisateur sans preuve de concept exploitable
E-mail bombing et flooding (bombardement de messagerie)
Configurations de sécurité des e-mails — SPF, DKIM, DMARC
Tests physiques
Veuillez adresser vos questions et soumissions à l'adresse [email protected]. Toute activité non autorisée réalisée sans respecter les conditions de ce programme pourra faire l'objet de poursuites judiciaires, conformément aux lois applicables et à la politique de l'entreprise. Si, à quelque moment que ce soit, vous pensez que vos recherches ne respectent pas les conditions de ce programme ou avez un doute, interrompez vos tests et contactez [email protected].
Les e-mails échangés entre vous et ThoughtSpot, y compris, mais sans s'y limiter, ceux que vous envoyez à ThoughtSpot pour signaler une vulnérabilité potentielle, ne doivent contenir aucune information propriétaire vous appartenant. Le contenu de l'ensemble des e-mails que vous envoyez à ThoughtSpot est considéré comme non-propriétaire. ThoughtSpot ou ses sociétés affiliées peuvent utiliser ces communications ou documents pour quelque fin que ce soit, y compris, mais sans s'y limiter, les reproduire, divulguer, transmettre, publier, diffuser et rendre autrement publics. Par ailleurs, ThoughtSpot et ses sociétés affiliées sont libres d'utiliser les idées, concepts, savoir-faire et techniques inclus dans tout message ou document que vous envoyez à ThoughtSpot pour quelque fin que ce soit, notamment pour corriger, développer, fabriquer et commercialiser des produits. En soumettant des informations, vous accordez à ThoughtSpot une licence et un droit perpétuels, irrévocables et exempts de redevance lui permettant d'utiliser, de reproduire, de modifier, d'adapter, de publier, de traduire, de distribuer, de transmettre, d'afficher publiquement, de lire publiquement, de concéder en sous-licence, de transférer et de vendre ces informations, ainsi que de les utiliser pour créer des œuvres dérivées.