peringatan

Kebijakan Pelaporan Celah Keamanan Yang Bertanggung Jawab

PT Trinusa Travelindo beserta seluruh perusahaan terafiliasi lainnya dalam Traveloka Group (“Traveloka”) berkomitmen untuk menjaga keamanan semua sistem yang dimiliki bagi setiap pengguna/user, dan keamanan data serta informasi user menjadi prioritas utama kami. Jika anda adalah seorang periset keamanan sistem informasi dan merasa telah menemukan celah keamanan pada salah satu atau beberapa layanan yang kami miliki, kami sangat berterima kasih apabila melaporkannya kepada kami secara langsung sehingga dapat memberikan kesempatan kepada kami untuk memperbaiki celah keamanan yang ada sebelum anda membukanya kepada publik secara umum. Hal ini untuk mendukung perlindungan data konsumen Traveloka sehingga memberikan kenyamanan kepada pengguna sistem.

Selama proses validasi celah keamanan, tim Traveloka akan bekerjasama dengan periset keamanan informasi yang telah menemukan dan mengirimkan celah keamanan. Kami akan melakukan validasi, merespon balik temuan serta melakukan perbaikan pada celah keamanan yang ditemukan untuk melindungi data dan privasi user. Traveloka tidak akan melakukan tindakan hukum terhadap periset keamanan yang melaporkan celah keamanan selama pelapor mengikuti peraturan tata cara pelaporan celah keamanan Traveloka yang ada pada halaman ini.

Traveloka akan memberikan penghargaan/reward berupa sejumlah uang kepada periset keamanan yang telah melaporkan celah keamanan yang ada. Nilai reward akan dihitung berdasarkan penilaian internal Traveloka dan bukan berdasarkan permintaan periset atau pihak lainnya. Bagi siapa saja yang tidak mengikuti peraturan Kebijakan Pelaporan Celah Keamanan Yang Bertanggung Jawab, maka akan kami proses melalui jalur hukum berdasarkan peraturan perundang-undangan yang berlaku, termasuk namun tidak terbatas pada Undang-Undang Republik Indonesia No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik, Electronic Transactions Act of Singapore dan peraturan lainnya di bidang informasi dan transaksi elektronik sesuai masing-masing negara.

Periset keamanan yang laporannya telah divalidasi dan diakui oleh Traveloka akan ditampilkan di halaman security wall of fame, sesuai dengan data-data yang telah diberikan kepada Traveloka, terkecuali bagi periset yang tidak ingin data dirinya di tampilkan.

 

Aturan Pelaporan

  • Periset keamanan bukanlah pegawai, keluarga atau kontraktor dari Traveloka.
  • Periset keamanan tidak melakukan atau menggunakan hal yang melanggar hukum pada saat proses pencarian dan penemuan celah keamanan di sistem Traveloka dan tidak merupakan penyebab terjadinya suatu celah keamanan.
  • Periset keamanan diwajibkan menggunakan alamat email pelaporan yang telah disediakan oleh Traveloka untuk mengirimkan informasi celah keamanan yang telah ditemukan.
  • Periset keamanan wajib menjaga informasi celah keamanan yang telah ditemukan hanya untuk dirinya dan Traveloka, dan tidak membukanya atau membagikannya kepada pihak manapun menggunakan media apapun tanpa izin dari Traveloka sampai pada saat Traveloka secara resmi memberitahukan kepada periset bahwa celah keamanan yang ditemukan telah diperbaiki, apabila periset menyebarkan informasi seputar celah keamanan kepada pihak selain Traveloka, maka Traveloka akan mengambil jalur hukum.
  • Dengan mengirimkan informasi seputar celah keamanan kepada Traveloka, maka secara otomatis, pihak periset keamanan secara sadar menyetujui untuk memberikan hak penuh kepada Traveloka untuk menyimpan serta menggunakannya secara bebas dan gratis untuk kepentingan internal Traveloka tanpa harus membayar royalti, lisensi atau hak intelektual apapun.
  • Traveloka hanya akan menerima pelaporan celah keamanan seperti yang tertera pada bagian celah keamanan dan tidak akan menghitung laporan celah keamanan selain yang tertera pada daftar yang ada.
  • Traveloka akan merespon balik laporan yang ada dalam waktu 2x24 jam setelah laporan masuk ke dalam sistem Traveloka.
  • Periset keamanan yang telah mengirimkan laporan wajib menunggu proses validasi dan penilaian dari Traveloka paling lama 30 hari kerja, sebelum melanjutkan ke proses berikutnya yaitu pemberian reward. Jika dalam 30 hari kerja Traveloka belum menghubungi pemberi laporan, maka Periset keamanan dapat langsung menghubungi alamat email bug@traveloka.com dengan Subject email kode pelaporan celah keamanan yang diterima secara otomatis saat mengirimkan laporan. Laporan yang tidak menggunakan no tiket pada subjek tidak akan di tanggapi.
  • Traveloka membutuhkan waktu 60 hari kerja untuk melakukan pembenahan pada celah keamanan yang ditemukan dan selama waktu tersebut, periset keamanan dilarang untuk menyebarluaskan, mengungkapkan, mempublikasikan, melakukan eksploitasi ulang, atau menggunakan celah yang ditemukan sebagai pivot atau chaining dalam mencari celah keamanan lainnya di dalam sistem Traveloka.
  • Traveloka dapat menghentikan program pelaporan celah keamanan ini sewaktu-waktu tanpa pemberitahuan kepada pihak manapun
  • Periset keamanan wajib memberikan informasi secara detail mengenai celah keamanan yang telah ditemukan, beserta dengan bukti, baik berupa screenshot, log file, video dan lainnya, tanpa mengganggu, mengubah, menambahkan dan menghapus data atau konfigurasi yang ada di dalam sistem Traveloka.
  • Periset keamanan harus menggunakan user account pribadi dan tidak mengganggu, menggunakan, atau mengambil alih account milik orang lain, saat mencari celah keamanan
  • Traveloka tidak akan menanggapi pelaporan yang menggunakan jalur selain bug@traveloka.com yang telah disediakan oleh Traveloka.

 

Celah Keamanan

Celah keamanan yang akan di proses meliputi:

  • Cross-site Scripting (XSS)
  • Cross-site Request Forgery
  • Server-Side Request Forgery (SSRF)
  • SQL Injection
  • Server-side Remote Code Execution (RCE)
  • XML External Entity Attacks (XXE)
  • Open Redirect Vulnerabilities
  • Access Control Issues (Insecure Direct Object Reference issues, dst)
  • Administrative Login Panel yang tidak membutuhkan kata sandi/password atau menggunakan password yang dapat dengan mudah ditebak
  • Directory Traversal
  • Local File Disclosure (LFD)
  • Information Disclosure of Sensitive Information (seperti system configurations, user data, dll)
  • Publicly accessible login atau admin panels
  • Local exploit untuk aplikasi mobile

Pemberian reward tergantung dari nilai resiko yang dihasilkan dari celah keamanan yang ditemukan. Untuk pengukuran dan perhitungan nilai resiko, Traveloka menggunakan standar Internasional dalam melakukan pengukuran tingkat resiko yang ada pada sistem, seperti OWASP Risk Rating Methodology dan Common Vulnerability Scoring System.

 

Celah keamanan yang tidak akan di proses:

  • DDOS attack
  • Penipuan (Fraud, Phising dll)
  • Celah keamanan pada sistem pihak kedua dan ketiga di luar sistem inti (core system) Traveloka yang terintegerasi dengan sistem Traveloka
  • Celah keamanan yang telah ditemukan sebelumnya oleh periset keamanan yang lain.
  • Self XSS yang hanya dapat dieksekusi pada akun pribadi dan tidak dapat digunakan pada user lain yang memiliki sesi yang berbeda atau hanya memiliki efek pada browser versi lama atau tertentu yang sudah tidak lagi banyak digunakan oleh pengguna internet.