Updates
Mar 29, 2017

Tata Cara Pelaporan Bug Keamanan pada Infrastruktur GO-JEK

Hai GO-JEKERS,

Di GO-JEK, keamanan merupakan hal yang kami tangani secara serius. Kami sangat menghargai segala usaha yang dilakukan untuk mencari kelemahan pada piranti lunak (software) dan kami mendukung siapa saja yang ingin terlibat dalam usaha ini.

Kami senang untuk memberikan penghargaan serta pengakuan sepantasnya terhadap temuan-temuan yang dilaporkan. Namun perkenankanlah kami untuk melakukan pembetulan atau patching terhadap suatu kerentanan sebelum ia diungkapkan ke ranah khalayak publik. Dengan ini, para pengguna kami dapat melakukan pembaruan (update) sesegera mungkin begitu perbaikan (fix) diterbitkan. Kami menyebut perilaku ini Pengungkapan yang Bertanggung Jawab.

Kebijakan Pengungkapan yang Bertanggung Jawab

Selagi Anda berusaha untuk mengidentifikasikan kerentanan keamanan yang kami mungkin miliki, GO-JEK memerlukan Anda untuk menaati prosedur pelaporan sebagai berikut:

  1. Bagikanlah kepada kami segala hal atau permasalahan yang Anda temukan melalui security-bugs@go-jek.com Perincian yang perlu diberikan adalah:
    • Penjelasan serta informasi yang cukup mengenai kerentanan keamanan yang akan memungkinkan pihak GO-JEK untuk mereproduksi langkah-langkah yang Anda lakukan dalam menciptakan kerentanan atau permasalahan tersebut.
    • Pembuktian konsep (proof of concept).
    • Penjelasan mengenai bagaimana serangan tersebut dapat dijalankan dalam skenario dunia nyata, yang lalu dapat menyebabkan kebocoran data akun pengguna, atau kerugian lainnya.
    • Alamat email Anda, karena kami mungkin memerlukan Anda untuk memberikan informasi tambahan sesuai relevansi atau kebutuhan.
    • Nama Anda, user ID di Bugcrowd, dan user Twitter yang ingin ditampilkan dalam Security Researcher Hall of Fame kami (jika Anda mau).
    • QR ID Anda di GO-PAY atau nomor telepon yang Anda daftarkan di GO-PAY.
  2. Berikanlah GO-JEK jeda waktu yang masuk akal untuk meninjau dan menangani permasalahan yang dilaporkan sebelum Anda publikasikan hal tersebut.
  3. Janganlah mempublikasikan, mem-post, mentransmisikan, mengunggah (upload) pengungkapan kerentanan tersebut ke media sosial mana pun, serta janganlah membagikan informasi mengenai pengungkapan kerentanan tersebut ke pihak mana pun selain Anda atau tim inti Anda sendiri sebagai penggiat atau peneliti keamanan informasi.
  4. Janganlah mencoba untuk mengakses atau mengubah data pengguna atau pelanggan GO-JEK, kecuali yang milik Anda pribadi.
  5. Janganlah memperburuk atau mencoba untuk memperburuk kinerja layanan-layanan yang kami miliki (misalkan melalui pemindaian otomatis, menjalankan brute force, atau serangan denial of service).
  6. Janganlah mem-post, mentransmisikan, mengunggah, membuat link kepada, mengirimkan, ataupun menyimpan malware, virus, serta segala piranti lunak berbahaya lainnya.
  7. Laporkan permasalahan sesuai dengan cakupan yang terdefinisikan di bawah ini.
  8. Periksalah daftar kami mengenai kerentanan yang tidak termasuk kualifikasi untuk memastikan bahwa Anda tidak sia-sia menghabiskan waktu memburu suatu kerentanan yang akan terdiskualifikasi untuk memasuki Security Researcher Hall of Fame kami (lihat di bawah).

Cakupan

  • Situs web GO-JEK
  • Aplikasi mobile GO-JEK (Android dan iOS) untuk konsumen
  • Aplikasi mobile GO-JEK (Android) untuk mitra pengemudi (driver)
  • Infrastruktur yang terkait dengan GO-JEK

Para peneliti keamanan yang mengungkapkan kerentanan secara bertanggung jawab, dan sesuai dengan Kebijakan Pengungkapan yang Bertanggung Jawab ini, berhak untuk ikut serta dalam Security Researcher Hall of Fame di GO-JEK. Pemberian hak keikutsertaan ini sepenuhnya berdasarkan penilaian kami.

Kerentanan yang tidak masuk kualifikasi:

  • Distributed Denial of Service (DDoS)

Tatakala

Kami di GO-JEK memiliki proses peninjauan internal yang standar dengan SLA sebagai berikut:

  1. Waktu yang dibutuhkan tim internal kami yang didedikasikan untuk menangani permasalahan keamanan untuk merespons yang dihitung sejak masuknya laporan awal: 2x24 jam.
  2. Waktu untuk menerbitkan perbaikan (fix) setelah tim internal kami yang didedikasikan untuk menangani permasalahan keamanan memberikan konfirmasi bahwa suatu kerentanan dapat direporduksikan: 5-15 hari (tergantung dari tingkat kerumitan dari kerentanan keamanan yang dilaporkan dan perbaikan seperti apa yang diperlukan).
  3. Waktu untuk proses verifikasi final, yang dilakukan oleh pelapor awal kerentanan keamanan tersebut: 1x24 jam.

Dalam hal bahwa saat proses verifikasi final ternyata kerentanan keamanan terbukti masih memiliki celah—berarti perbaikan (fix) yang sebelumnya diuji dan diterbitkan oleh tim internal tidak menyelesaikan permasalahan—langkah 2 dan 3 di atas akan diulang sebanyak yang diperlukan.

Pembayaran Hadiah

Setelah proses verifikasi final selesai, Anda berhak untuk mendapatkan bayaran atas usaha keras Anda. Semua pembayaran hadiah akan diberikan melalui GO-PAY. Saldo GO-PAY Anda akan dikreditkan sesuai dengan nominal yang selayaknya.

Meskipun GO-JEK memiliki hak penuh atas penentuan nominal setiap hadiah yang harus dibayarkan, kami dapat memberitahukan Anda bahwa suatu hadiah akan ditentukan nominalnya berdasarkan atas tingkat kesulitan eksekusinya, dampak bisnisnya, serta konsekuensi teknis yang diakibatkannya.

+++

We at GO-JEK take security seriously.  We appreciate the work people put in to find flaws in software and welcome anyone to do so. This will lead to better quality and more secure software for everyone.

We are happy to attribute credit to the findings but we ask that we're given the chance to patch any vulnerability before they are publicly disclosed so that our users can update as soon as a fix is available.  We call this Responsible Disclosure. 

Responsible Disclosure Policy

While working to identify security vulnerabilities, GO-JEK requires you to comply with these procedures to report:

  1. Share any issues that you discover with us via security-bugs@go-jek.com, as soon as you can. Details to be included:
    • An adequate description and information regarding the security vulnerability that will allow GO-JEK to reproduce your steps and the issue.
    • Proof of Concept.
    • A description of how the attack could be executed in a real world scenario to compromise user accounts or data.
    • Your email address, as we might require you to provide additional information as relevant or required.
    • Your name, Bugcrowd user ID, and Twitter handle as you would like it to appear in our Security Researcher Hall of Fame (if selected).
    • Your GO-PAY QR ID or phone number.
  2. Provide GO-JEK a reasonable amount of time to review and address reported issues before making them public.
  3. Do not post, transmit, upload disclosure to any social media nor share the disclosure information to other than the researcher(s) him/herself.
  4. Do not attempt to access or modify any user data that is not your own.
  5. Do not degrade or attempt to degrade the performance of our services (e.g. via automated scanning, brute forcing, or denial of service attacks).
  6. Do not post, transmit, upload, link to, send or store malware, viruses or other harmful software.
  7. Report issues defined within scopes below.
  8. Check our list of non-qualifying vulnerabilities to make sure that you aren’t spending time chasing down a vulnerability that isn’t going to qualify for our Security Researcher Hall of Fame (bottom of page).

 Scope

  • GO-JEK Websites
  • GO-JEK Consumer mobile application (Android and iOS)
  • GO-JEK Driver mobile application (Android)
  • GO-JEK related infrastructure

Researchers that responsibly disclose in accordance with this Responsible Disclosure Policy are eligible for inclusion in GO-JEK Security Researcher Hall of Fame. Eligibility for inclusion in our Hall of Fame is based solely on our discretion.

Non-qualifying vulnerabilities:

  • Distributed Denial of Service (DDoS)

 Timeline

We at GO-JEK has a standard internal review process with SLA as stated below:

  1. Time for our internal dedicated security team to respond from the initial reporting submission: 2x24 hours.
  2. Time to release a fix after our internal dedicated security team confirmed a reproduce-able vulnerability: 5-15 days (depending on the complexity of the reported security vulnerability and the fix involved).
  3. Time for a final verification process, performed by the original submitter of the security vulnerability: 1x24 hour.

In the event that during the final verification process the security vulnerability is proven to be still vulnerable--meaning that the internally tested and deployed fix does not solve the issue--steps 2 and 3 above will be iterated as required. 

Bounty Payout

Upon the completion of the final verification process, you will be entitled to receive your well-earned bounty payout. All bounty payouts will be delivered through GO-PAY. You will have your GO-PAY balances credited accordingly.

Although GO-JEK reserves the right to determine the exact amount of each bounty payout, we can tell you however that the amount given for a bounty will be determined based on its difficulty of execution, business impacts, and technical repercussions.