您現在將離開我們的網站並進入不受我們控制的第三方商網站。
私隱和安全
報告漏洞
如何報告漏洞
TD致力於保障我們的系統以及我們客戶資料的安全。我們十分重視專家、研究人員和我們的客戶為這一目標所做出的貢獻。如果您認為自己發現某個TD應用程序中存在潛在的安全漏洞,請發送電郵至td.responsibledisclosure@td.com,將這一情況告知我們。
注意:此聯絡方式用於報告TD應用程序中存在的潛在安全漏洞。如果有任何其他類型的問題需要解答,包括有關潛在詐騙的顧慮,請聯絡我們的客戶服務團隊。
TD目前並沒有開展漏洞賞金計劃,因此依照此政策中所述計劃,不會為潛在問題的報告者提供獎勵或報酬。
對於您報告漏洞之舉,我們在此提前致謝。感謝您為我們的安全工作所給予的協助。
一般要求
- 僅對可公開訪問的內容進行研究
- 請勿儲存、分享或損壞TD數據
- 請勿發起或執行任何欺詐性交易
- 如未事先獲得TD的書面許可,請勿向任何第三方或公眾披露潛在漏洞。
如果獲得了相關許可,請與TD一起協調您發現的潛在漏洞的披露/發布/公佈事宜,並將您披露的內容限制在一定範圍內,以便合理地避免他人利用此漏洞(例如不要向公眾披露可執行代碼或概念驗證碼)。
範圍
由道明銀行集團所有、營運和/或控制的任何可公開瀏覽的系統,包括Web應用程序、流動應用程序或這些系統上託管的服務均在範圍之內。
如果您對想要研究的具體網域或應用程式有疑問,請聯絡TD。ResponsibleDisclosure@td.com。
此計劃並非對下列任何行為的許可:對TD資產物理安全性的測試;對TD客戶或僱員的社交工程攻擊(例如網絡釣魚電子郵件或網站);拒絕服務或資源耗竭攻擊;或者可能導致您的IP被封鎖的依靠高流量的批量掃描工具。
法律要求
您必須遵守與您參與此計劃相關的所有適用法律。
如果您依照此政策進行了研究並向TD提交了您發現的漏洞,我們將視之為獲得授權的行為。
TD對於此政策中描述的任何活動保留所有相關法律權利。
向TD提交您的報告 (即您的「提交」),即表示您同意:
- TD可以採取所有必要的措施來驗證和緩解報告的漏洞;
- TD可以依照此政策中的規定來分享或披露報告的漏洞;
- TD可以收集、使用、分享或披露您在提交的報告中向TD提供的任何個人資料;並且
- 為了方便TD開展任何上述活動,您向TD授予與您的提交相關的任何所需權利。
提交報告
TD特別關注OWASP Top 10榜單中的漏洞和/或可以證明對安全性確有影響的漏洞。在報告漏洞時,請對您發現的情況進行詳細的描述,其中包括:
- 完整的URL。
- 清晰簡明地描述您採取的步驟。
- 在發現漏洞的過程中使用的任何工具。
- 可能涉及的對象 (例如過濾器或輸入框)。
- 證據 (例如歡迎畫面截圖)。
- 您對風險的評估 (首選CVSS 3.1)。
- 漏洞的攻擊場景、可利用性和安全影響。
- 建議的任何解決方案 (非必要)。
請注意,我們並未索取,也未要求提供代碼的可執行副本。
向TD提交報告,即表示您已閱讀、理解並同意此政策。
請將您的報告提交至:td.responsibledisclosure@td.com
TD在收到您的電郵後將自動傳送一封確認電郵。我們僅在需要額外資料以幫助我們調查問題時才會進一步聯絡您。
TD將採取合理措施及時調查並解決被證明會影響安全性的潛在問題,但是為了保護我們的客戶,我們可能會選擇不披露、討論或確認相關安全問題。
再次感謝您的提交。