Retningslinjer for ansvarlig avsløring
Vennligst send funnene dine til: responsibledisclosure@nbim.no.
Sikkerhet er svært viktig for Norges Bank Investment Management. Vi verdsetter sikkerhetsforskere som handler i god tro og som kontakter oss med funn som kan hjelpe oss med å beskytte og sikre organisasjonen og eiendelene våre.
Hvis du vil bidra
Vennligst send funnene dine til responsibledisclosure@nbim.no og:
- Følg spillereglene – som forklart her, og hold deg innenfor gjeldende lover og relevante avtaler
- Vent med full avsløring til vi gir klarsignal
- Hold deg innenfor omfanget av denne retningslinjen
- Stopp når du har nok informasjon til å demonstrere dine funn på et konseptuelt nivå – ikke utnytt sårbarheten ved å laste ned unødvendige data, destruere data, forårsake forstyrrelser eller degradering av tjenestene våre
Når du rapporterer, vil vi
- Gi tilbakemelding innen rimelig tid
- Jobbe sammen med deg for å forstå og validere funnene
- Sørge for å rette opp validerte sårbarheter innen rimelig tid
- Anerkjenne ditt bidrag dersom du er den første som oppdager sårbarheten
Omfang
*nbim.no, *generasjonsfondet.no
Utenfor omfanget
- Norges Banks andre plattformer (*norges-bank.no)
- Norges Banks tredjeparter
- DoS eller andre former for ressursuttaksangrep
- Angrep på fysisk sikkerhet, sosial manipulering, nettfiske/spam
Belønning
Norges Bank Investment Management tilbyr for tiden ikke et bug-bounty-program eller noen monetær belønning for å rapportere sårbarheter. Vi vil imidlertid anerkjenne de som hjelper oss med å forbedre sikkerheten.
Security hall of fame
2021: Shivam Khambe - Same-site scripting
2021: Priti Navale - Clickjacking
2022 : Kokalagi Rushikesh - Exposed API key
Sist oppdatert: 16.03.2022