Retningslinjer for ansvarlig avsløring

Har du oppdaget en sårbarhet eller andre sikkerhetsproblemer relatert til Norges Bank Investment Managements nettside nbim.no? Vi setter pris på at du rapporterer dem til oss.

Vennligst send funnene dine til: responsibledisclosure@nbim.no.

Sikkerhet er svært viktig for Norges Bank Investment Management. Vi verdsetter sikkerhetsforskere som handler i god tro og som kontakter oss med funn som kan hjelpe oss med å beskytte og sikre organisasjonen og eiendelene våre.

Hvis du vil bidra

Vennligst send funnene dine til responsibledisclosure@nbim.no og:

  • Følg spillereglene – som forklart her, og hold deg innenfor gjeldende lover og relevante avtaler
  • Vent med full avsløring til vi gir klarsignal
  • Hold deg innenfor omfanget av denne retningslinjen
  • Stopp når du har nok informasjon til å demonstrere dine funn på et konseptuelt nivå – ikke utnytt sårbarheten ved å laste ned unødvendige data, destruere data, forårsake forstyrrelser eller degradering av tjenestene våre

Når du rapporterer, vil vi

  • Gi tilbakemelding innen rimelig tid
  • Jobbe sammen med deg for å forstå og validere funnene
  • Sørge for å rette opp validerte sårbarheter innen rimelig tid
  • Anerkjenne ditt bidrag dersom du er den første som oppdager sårbarheten

Omfang

*nbim.no, *generasjonsfondet.no

Utenfor omfanget

  • Norges Banks andre plattformer (*norges-bank.no)
  • Norges Banks tredjeparter
  • DoS eller andre former for ressursuttaksangrep
  • Angrep på fysisk sikkerhet, sosial manipulering, nettfiske/spam

Belønning

Norges Bank Investment Management tilbyr for tiden ikke et bug-bounty-program eller noen monetær belønning for å rapportere sårbarheter. Vi vil imidlertid anerkjenne de som hjelper oss med å forbedre sikkerheten.

Security hall of fame

2022: Timothy Salomonsson – Vulnerability: XSS/HTML Injection Vulnerability
2022: Harsh Bhanushali - Vulnerability: Prototype Pollution via jQuery
2022: Yash Kushwah - Vulnerability: Prototype Pollution via jQuery
2022: Arjun E – Vulnerability: No rate limit leads to potential email flooding on website
2022: Nikhil Rane –  Vulnerabilities: Error Page Content Spoofing or Text Injection, Host Header Injection
2022 : Kokalagi Rushikesh - Vulnerability: Exposed API key
2021: Shivam Khambe - Vulnerability: Same-site scripting
2021: Priti Navale - Vulnerabilities: Clickjacking

Sist oppdatert: 07.11.2022