私隱和安全

報告漏洞

如何報告漏洞

TD致力於保障我們的系統以及我們客戶資料的安全。我們十分重視專家、研究人員和我們的客戶為這一目標所做出的貢獻。如果您認為自己發現某個TD應用程序中存在潛在的安全漏洞,請發送電郵至td.responsibledisclosure@td.com,將這一情況告知我們。

注意:此聯絡方式用於報告TD應用程序中存在的潛在安全漏洞。如果有任何其他類型的問題需要解答,包括有關潛在詐騙的顧慮,請聯絡我們的客戶服務團隊

TD目前並沒有開展漏洞賞金計劃,因此依照此政策中所述計劃,不會為潛在問題的報告者提供獎勵或報酬。

對於您報告漏洞之舉,我們在此提前致謝。感謝您為我們的安全工作所給予的協助。

一般要求

  • 僅對可公開訪問的內容進行研究
  • 請勿儲存、分享或損壞TD數據
  • 請勿發起或執行任何欺詐性交易
  • 如未事先獲得TD的書面許可,請勿向任何第三方或公眾披露潛在漏洞。

如果獲得了相關許可,請與TD一起協調您發現的潛在漏洞的披露/發布/公佈事宜,並將您披露的內容限制在一定範圍內,以便合理地避免他人利用此漏洞(例如不要向公眾披露可執行代碼或概念驗證碼)。

範圍

由道明銀行集團所有、營運和/或控制的任何可公開瀏覽的系統,包括Web應用程序、流動應用程序或這些系統上託管的服務均在範圍之內。

如果您對想要研究的具體網域或應用程式有疑問,請聯絡TD。ResponsibleDisclosure@td.com

此計劃並非對下列任何行為的許可:對TD資產物理安全性的測試;對TD客戶或僱員的社交工程攻擊(例如網絡釣魚電子郵件或網站);拒絕服務或資源耗竭攻擊;或者可能導致您的IP被封鎖的依靠高流量的批量掃描工具。

法律要求

您必須遵守與您參與此計劃相關的所有適用法律。

如果您依照此政策進行了研究並向TD提交了您發現的漏洞,我們將視之為獲得授權的行為。

TD對於此政策中描述的任何活動保留所有相關法律權利。

向TD提交您的報告 (即您的「提交」),即表示您同意:

  • TD可以採取所有必要的措施來驗證和緩解報告的漏洞;
  • TD可以依照此政策中的規定來分享或披露報告的漏洞;
  • TD可以收集、使用、分享或披露您在提交的報告中向TD提供的任何個人資料;並且
  • 為了方便TD開展任何上述活動,您向TD授予與您的提交相關的任何所需權利。

提交報告

TD特別關注OWASP Top 10榜單中的漏洞和/或可以證明對安全性確有影響的漏洞。在報告漏洞時,請對您發現的情況進行詳細的描述,其中包括:

  1. 完整的URL。
  2. 清晰簡明地描述您採取的步驟。
  3. 在發現漏洞的過程中使用的任何工具。
  4. 可能涉及的對象 (例如過濾器或輸入框)。
  5. 證據 (例如歡迎畫面截圖)。
  6. 您對風險的評估 (首選CVSS 3.1)。
  7. 漏洞的攻擊場景、可利用性和安全影響。
  8. 建議的任何解決方案 (非必要)。

請注意,我們並未索取,也未要求提供代碼的可執行副本。

向TD提交報告,即表示您已閱讀、理解並同意此政策。

請將您的報告提交至:td.responsibledisclosure@td.com

TD在收到您的電郵後將自動傳送一封確認電郵。我們僅在需要額外資料以幫助我們調查問題時才會進一步聯絡您。

TD將採取合理措施及時調查並解決被證明會影響安全性的潛在問題,但是為了保護我們的客戶,我們可能會選擇不披露、討論或確認相關安全問題。

再次感謝您的提交。

工具和資源

如何聯絡我們