責任ある情報開示のための
プログラム

ThoughtSpotは、信頼によってお客様との関係を育むことを何よりも重視しています。プライバシーの保護を基本的権利と捉え、お客様のプライバシーとセキュリティーを常に最優先事項と位置付けています。

ThoughtSpotは、サイバーセキュリティーを重視し、セキュリティーコミュニティ全体に貢献することが大切と考えています。潜在的な脆弱性を責任をもって開示することで、お客様とデータのセキュリティーとプライバシーの保護が促進されます。潜在的な脆弱性の報告には、問題を再現して検証するための十分な情報が必ず含まれている必要があります。資料には、問題の詳細な要約、目的、実行した手順、スクリーンショット、使用したツールなど、トリアージを行う際に問題を再現するのに役立つあらゆる情報が含まれている必要があります。

セキュリティーコミュニティにお願いがあります。サードパーティーと連携して、またはサードパーティーに対して情報を公開する前に、ThoughtSpotが報告された脆弱性を修正するための機会を設けてください。以下のガイドラインに従い、責任をもって直接ThoughtSpotにセキュリティーの脆弱性を報告した調査者に対して、ThoughtSpotが法的措置を取ることはありません。以下のプログラムガイドラインに対する違反があった場合、ThoughtSpotはすべての法的権利を留保します。

プログラムガイドライン

  • ThoughtSpot、ThoughtSpotのお客様、またはThoughtSpotの従業員を害する、もしくはその可能性のある活動を一切行わないでください。

  • ThoughtSpotのサービスまたは資産の機能停止あるいは価値の低下を引き起こす活動を一切行わないでください。

  • 脆弱性を利用しないでください(例:脆弱性を実証するために必要以上のデータをダウンロードまたはアクセスする、サードパーティーのデータを見る、データを削除または修正するなど)。脆弱性が原因でデータに意図せずにアクセスできる場合でも、脆弱性の存在を効果的に実証するのに必要な最小限のアクセス以外は行わないでください。テスト中に、個人情報(PII)、保護された健康情報(PHI)、クレジットカードデータ、その他の秘密情報などの高リスクデータに遭遇した場合は、ただちにテストを中断し、報告してください。

  • ThoughtSpotおよびThoughtSpotのデータに対して、保存、共有、危殆化、破棄を行わないでください。個人情報(PII)に遭遇した場合は、ただちに作業を停止し、システムから関連データを除去して、ThoughtSpotまで速やかに連絡してください([email protected])。この手順により、潜在的に脆弱なデータだけでなく、調査者自身も守られます。

  • 次の法律および規制に違反するいかなる活動も行わないでください。(a)米国の連邦、もしくは州の法律および規制、または(b)(i)データ、資産、システムが帰する、(ii)データトラフィックの経路が定められている、もしくは(iii)調査者の調査活動が実施されている国の法律および規制。

  • 責任ある情報開示のためのプログラムを通して知り得た脆弱性に関する情報は、すべて秘密とみなされます(以下「秘密情報」)。調査者は、秘密情報を一般に公開しない、およびいかなるサードパーティーにも開示しないことに同意し、調査者が遭遇、表示、獲得、またはアクセスする可能性があるThoughtSpotの情報はすべて、ThoughtSpot、ThoughtSpotのお客様、クライアント、またはサードパーティープロバイダーが所有することに同意するものとします。調査者は、当該情報に対していかなる権利、権原、所有権も有しません。調査者は、ThoughtSpotのセキュリティーチームから、秘密情報のすべてのコピーおよび秘密情報に関連するすべてのメモを速やかに返却または破棄するよう要請があった場合、その要請を常に尊重することに同意するものとします。

  • 調査者が行ったテストおよび報告は、プログラムの利用規約に対する合意内容の一部とみなされます。

調査対象となる問題

ThoughtSpotは、以下のクラスの脆弱性を特に重視しており、調査対象に設定しています。

  • リモートコード実行(RCE)。

  • SQLインジェクション。

  • XML外部エンティティインジェクション(XXE)。

  • 認証バイパス/エスカレーション。

  • 秘密情報の漏えい。

  • クロスサイトスクリプティング(XSS)。

  • クロスサイトリクエストフォージェリ(CSRF)。

  • ThoughtSpotが独自に判断した、その他の脆弱性

対象外

以下は、脆弱性が実際に見られる場合を除き、報告が不要な問題の一部をリスト化したものです。

  • セルフXSS。

  • ログイン/ログアウトに関するCSRF。

  • 悪意のある概念実証がないCSRF設定の問題。

  • 脆弱性に直接つながらないセキュリティーヘッダーの欠落。

  • サードパーティーのコンポーネントに見られる脆弱性(緊急度と悪用される可能性の程度による)。

  • 登録、サインイン、Eメールアドレスの変更確認時に送信されるEメールのレート制限。

  • ログイン用のリンクを複数回リクエストした際に無効化されなかった、以前のEメールに表示されているログイン用リンク。

  • アップロード画像から削除されていないEXIF(ワークスペース外で見つけられる場合を除く)。

  • サービス妨害(DOS)とレート制限に関する問題。

  • 極めて稀なユーザーインタラクションを必要とするバグ。

  • ソーシャルエンジニアリング攻撃。

  • 古くなったブラウザーやプラグインを使用しているユーザーに影響する不具合。

  • 秘密ではない情報の列挙や開示。

  • 単一のワークスペース内での情報の列挙。

  • 悪意ある実証概念がない入力バリデーションの欠如。

  • EメールボムやEメールフラッディング

  • Eメールのセキュリティー設定:SPF、DKIM、DMARC。

  • 物理的なテスト。

質問や提出物は[email protected]宛てにお送りください。本プログラムの規約から外れた無許可の活動は、適用法および会社のポリシーに基づき、法的措置の対象となることがあります。懸念事項がある場合、またはセキュリティーに関する調査が本プログラムの規約に準拠しているか不安がある場合はいつでも、テストを中断し、[email protected]に連絡してください。

ThoughtSpotとやり取りするEメール通信(潜在的なセキュリティーの脆弱性についてThoughtSpotに送信する報告を含みますが、これに限定されません)には、ご自身の専有情報は記載しないでください。ThoughtSpotに送信するすべてのEメール通信の内容は、非専有情報とみなされるものとします。ThoughtSpotまたはその関係会社は、当該通信または資料をいかなる目的にも使用できるものとします。この目的には、複製、開示、伝達、発表、放送、再投稿が含まれますが、これらに限定されません。さらに、ThoughtSpotおよびその関係会社は、調査者がThoughtSpotに送信した通信内容または資料に含まれるアイデア、コンセプト、ノウハウ、または技術をいかなる目的にも自由に使用できるものとします。この目的には、製品の修正、開発、製造、マーケティングが含まれますが、これらに限定されません。情報を提出することで、調査者はThoughtSpotに対し、当該情報の使用、複製、修正、適合、発表、翻訳、配信、伝達、一般公開、公演、二次ライセンス、派生品の作成、譲渡と販売のための、期間の定めがない、ロイヤルティー無償かつ取消不能の権利とライセンスを付与するものとします。