隐私与安全

报告漏洞

如何报告漏洞

TD致力于保障我们的系统以及我们客户信息的安全。我们十分重视专家、研究人员和我们的客户为这一目标所做出的贡献。如果您认为自己发现某个TD应用程序中存在潜在的安全漏洞,请发送电子邮件至td.responsibledisclosure@td.com,将这一情况告知我们。

注意:此联系方式用于报告TD应用程序中存在的潜在安全漏洞。如果有任何其他类型的问题需要解答,包括有关潜在诈骗的顾虑,请联系我们的客户服务团队

TD目前并没有开展漏洞赏金计划,因此依照此政策中所述计划,不会为潜在问题的报告者提供奖励或报酬。

对于您报告漏洞之举,我们在此提前致谢。感谢您为我们的安全工作所给予的协助。

一般要求

  • 仅对可公开访问的内容进行研究
  • 请勿存储、分享或损坏TD数据
  • 请勿发起或执行任何欺诈性交易
  • 如未事先获得TD的书面许可,请勿向任何第三方或公众披露潜在漏洞。

如果获得了相关许可,请与TD一起协调您发现的潜在漏洞的披露/发布/公布事宜,并将您披露的内容限制在一定范围内,以便合理地避免他人利用此漏洞 (例如不要向公众披露可执行代码或概念验证代码)。

范围

由道明银行集团所有、运营和/或控制的任何可公开访问的系统,包括Web应用程序、移动应用程序或这些系统上托管的服务均在范围之内。

如果您对自己想要研究的特定域或应用程序是否在范围内存在疑问,请联系TD.ResponsibleDisclosure@td.com

此计划并非对下列任何行为的许可:对TD资产物理安全性的测试;对TD客户或雇员的社交工程攻击 (例如网络钓鱼电子邮件或网站);拒绝服务或资源耗竭攻击;或者可能导致您的IP被封锁的依靠高流量的批量扫描工具。

法律要求

您必须遵守与您参与此计划相关的所有适用法律。

如果您依照此政策进行了研究并向TD提交了您发现的漏洞,我们将视之为获得授权的行为。

TD对于此政策中描述的任何活动保留所有相关法律权利。

向TD提交您的报告 (即您的“提交”),即表示您同意:

  • TD可以采取所有必要的措施来验证和缓解报告的漏洞;
  • TD可以依照此政策中的规定来分享或披露报告的漏洞;
  • TD可以收集、使用、分享或披露您在提交的报告中向TD提供的任何个人信息;并且
  • 为了方便TD开展任何上述活动,您向TD授予与您的提交相关的任何所需权利。

提交报告

TD特别关注OWASP Top 10榜单中的漏洞和/或可以证明对安全性确有影响的漏洞。在报告漏洞时,请对您发现的情况进行详细的描述,其中包括:

  1. 完整的URL。
  2. 清晰简明地描述您采取的步骤。
  3. 在发现漏洞的过程中使用的任何工具。
  4. 可能涉及的对象 (例如过滤器或输入框)。
  5. 证据 (例如欢迎屏幕截图)。
  6. 您对风险的评估 (首选CVSS 3.1)。
  7. 漏洞的攻击场景、可利用性和安全影响。
  8. 建议的任何解决方案 (非必要)。

请注意,我们并未索取,也未要求提供代码的可执行副本。

向TD提交报告,即表示您已阅读、理解并同意此政策。

请将您的报告提交至:td.responsibledisclosure@td.com

TD在收到您的电子邮件后将自动发送一封确认电子邮件。我们仅在需要额外信息以帮助我们调查问题时才会进一步联系您。

TD将采取合理措施及时调查并解决被证明会影响安全性的潜在问题,但是为了保护我们的客户,我们可能会选择不披露、讨论或确认相关安全问题。

再次感谢您的提交。

工具和资源

如何联系我们