如何报告漏洞

TD致力于保障我们的系统以及我们客户信息的安全。我们十分重视专家、研究人员和我们的客户为这一目标所做出的贡献。如果您认为自己发现某个TD应用程序中存在潜在的安全漏洞,请发送电子邮件至td.responsibledisclosure@td.com,将这一情况告知我们。

注意:此联系方式用于报告TD应用程序中存在的潜在安全漏洞。如果有任何其他类型的问题需要解答,包括有关潜在诈骗的顾虑,请联系我们的客户服务团队

TD目前并没有开展漏洞赏金计划,因此依照此政策中所述计划,不会为潜在问题的报告者提供奖励或报酬。

对于您报告漏洞之举,我们在此提前致谢。感谢您为我们的安全工作所给予的协助。

一般要求

  1. 仅对可公开访问的内容进行研究

  2. 请勿存储、分享或损坏TD数据

  3. 请勿发起或执行任何欺诈性交易

  4. Do not disclose potential vulnerabilities to any third parties or to the public without the prior written permission of TD

如果获得了相关许可,请与TD一起协调您发现的潜在漏洞的披露/发布/公布事宜,并将您披露的内容限制在一定范围内,以便合理地避免他人利用此漏洞 (例如不要向公众披露可执行代码或概念验证代码)。

范围

由道明银行集团所有、运营和/或控制的任何可公开访问的系统,包括Web应用程序、移动应用程序或这些系统上托管的服务均在范围之内。

如果您对自己想要研究的特定域或应用程序是否在范围内存在疑问,请联系TD.ResponsibleDisclosure@td.com

此计划并非对下列任何行为的许可:对TD资产物理安全性的测试;对TD客户或雇员的社交工程攻击 (例如网络钓鱼电子邮件或网站);拒绝服务或资源耗竭攻击;或者可能导致您的IP被封锁的依靠高流量的批量扫描工具。

法律要求

您必须遵守与您参与此计划相关的所有适用法律。

如果您依照此政策进行了研究并向TD提交了您发现的漏洞,我们将视之为获得授权的行为。

TD对于此政策中描述的任何活动保留所有相关法律权利。

向TD提交您的报告 (即您的“提交”),即表示您同意:

  1. TD可以采取所有必要的措施来验证和缓解报告的漏洞;

  2. TD可以依照此政策中的规定来分享或披露报告的漏洞;

  3. TD可以收集、使用、分享或披露您在提交的报告中向TD提供的任何个人信息;并且

  4. 为了方便TD开展任何上述活动,您向TD授予与您的提交相关的任何所需权利。

提交报告

TD特别关注OWASP Top 10榜单中的漏洞和/或可以证明对安全性确有影响的漏洞。在报告漏洞时,请对您发现的情况进行详细的描述,其中包括:

  1. 完整的URL。

  2. 清晰简明地描述您采取的步骤。

  3. 在发现漏洞的过程中使用的任何工具。

  4. 可能涉及的对象 (例如过滤器或输入框)。

  5. 证据 (例如欢迎屏幕截图)。

  6. 您对风险的评估 (首选CVSS 3.1)。

  7. 漏洞的攻击场景、可利用性和安全影响。

  8. 建议的任何解决方案 (非必要)。

请注意,我们并未索取,也未要求提供代码的可执行副本。

向TD提交报告,即表示您已阅读、理解并同意此政策。

请将您的报告提交至:td.responsibledisclosure@td.com

TD在收到您的电子邮件后将自动发送一封确认电子邮件。我们仅在需要额外信息以帮助我们调查问题时才会进一步联系您。

TD将采取合理措施及时调查并解决被证明会影响安全性的潜在问题,但是为了保护我们的客户,我们可能会选择不披露、讨论或确认相关安全问题。

再次感谢您的提交。