TEMUKAN CELAH, DAPAT HADIAH!


Secanggih apapun teknologinya, takkan pernah ada yang terlindungi sempurna. Kami pun merasakan hal yang sama, dan menyadari bahwa kolaborasi dengan para periset keamanan punya peran krusial dalam meningkatkan kualitas keamanan kami.


Jika Anda yakin telah menemukan celah keamanan pada produk dan layanan Bukalapak, jangan ragu untuk segera melaporkannya. Dengan senang hati, kami akan berdiskusi dan bekerja sama untuk menyelesaikan masalah itu.


Sebagai wujud penghargaan kami terhadap partisipasi Anda, kami akan memberikan imbalan untuk setiap laporan celah keamanan yang dapat diproses. Nilai imbalan bervariasi, tergantung pada tingkat risiko dari celah keamanan yang dilaporkan. Ingat, keputusan pemberian imbalan bersifat mutlak.

CAKUPAN

Semua konten yang berada pada domain berikut:
  • www.bukalapak.com
  • m.bukalapak.com
  • api.bukalapak.com
  • komunitas.bukalapak.com

JENIS CELAH KEAMANAN

Kami akan memeriksa semua laporan yang masuk. Akan tetapi, tak semua laporan celah keamanan akan kami proses, karena tergantung pada risiko yang ditimbulkan. Temukan perbedaannya, sebagai berikut:

Celah Keamanan Yang Diproses Celah Keamanan Yang Tidak Diproses
Semua yang berhubungan dan berakibat pada bocornya kerahasiaan dan integritas data pengguna Bukalapak. Contohnya seperti:

1. Injection (SQL, NoSQL)
2. Cross-site Scripting (XSS)
3. Cross-site Request Forgery (CSRF)
4. Broken Access Control (IDOR)
5. Server-side code execution bugs (RCE)
Semua yang memiliki tingkat risiko rendah dan tidak mendapatkan imbalan:

1.Semua celah keamanan yang melanggar aturan dan/atau di luar cakupan
2.Cross site-scripting (XSS) berisiko rendah. Contohnya, XSS yang hanya berdampak pada akun Anda sendiri
3.Open redirects. Pada kasus tertentu, kami masih memproses jika memiliki risiko yang lebih tinggi. Misalnya, mampu melakukan pencurian otentikasi token
4. Miskonfigurasi. Misalnya: HSTS, Missing cookie flags, Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP, Content-Security-Policy-Report-Only
5. Celah yang memanfaatkan browser dan aplikasi versi lama, termasuk semua versi Internet Explorer

PERHATIKAN SEBELUM MELAPORKAN

Sebelum melakukan percobaan riset keamanan pada Bukalapak, Mohon baca dan pahami beberapa informasi dan peraturan berikut:

  • Pemeriksaan celah keamanan hanya menggunakan akun sendiri. Bila hendak menggunakan akun lain, Anda wajib memiliki izin melakukan percobaan dari pemilik akun tersebut.

  • Usaha pemeriksaan tersebut tidak boleh membahayakan pengguna lain atau sistem yang ada di Bukalapak.

  • Anda tidak boleh mempublikasikan temuan celah keamanan kepada khalayak umum tanpa seizin kami.

  • Bukalapak tidak akan mengambil tindakan hukum kepada periset keamanan selama mematuhi peraturan program BukaBounty.

  • Bukalapak akan mengambil langkah hukum terhadap mereka yang tidak mengikuti peraturan berdasarkan hukum yang berlaku, meliputi tapi tidak terbatas pada Undang-Undang Republik Indonesia No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik atau hukum lokal lainnya di bidang informasi dan transaksi elektronik.

Dengan mengikuti program ini, Anda telah mengetahui segala informasi di atas, dan setuju untuk terikat pada aturan-aturan yang telah disebutkan.

LANGKAH-LANGKAH PELAPORAN

  • Buat laporan melalui e-mail ke security@bukalapak.com, dengan subjek berformat: [BUKABOUNTY] Judul Laporan. Misal: [BUKABOUNTY] XSS Vulnerability in Ulasan Barang

  • Pada badan e-mail, tuliskan jenis celah keamanan yang Anda temukan, dilanjutkan dengan penjelasan PoC, yang bisa berbentuk langkah-langkah singkat yang disertakan gambar, dokumen PDF, atau video.

  • Silakan tunggu balasan dari kami. Cepat atau tidaknya respon kami terhadap laporan Anda bergantung pada kelengkapan dan kejelasan bukti yang disertakan.

CONTOH LAPORAN YANG BAIK

contoh

YUK, BANTU BUKALAPAK JADI LEBIH AMAN!