漏洞披露策略

州立农场致力于保密, 州立农场系统和信息的完整性和可用性. 我们关心保护我们的客户和员工免受日常生活中的安全风险. 如果您在使用State Farm系统时注意到信息安全问题 wap.wbdinnovations.com 或者州立农场的移动应用，我们想听听.

我们要求您按照本漏洞披露政策，以负责任的方式披露信息安全问题. 州立农场将努力及时解决这一问题. 只要您遵守本政策，向State Farm披露信息安全问题, 州立农场不会对你采取法律行动或撤销对州立农场申请的访问权.

State Farm非常重视信息安全. 如果不遵守，我们保留所有法律权利.

我们会尽可能地对你们开诚布公. 如有必要，我们将与您合作以了解问题. 如果我们认为这个问题是误报，或者如果我们已经知道这个问题，我们会告诉你.

如果问题可以验证:

• 我们将描述我们所看到的问题的优先级.
• 在可能的情况下，我们将定期发送有关状态的更新.

我们的目标之一是尽快解决问题，同时限制对客户的负面影响. 为了做到这一点，我们需要你的帮助:

• 不管影响如何, 您同意不损害州立农场信息或州立农场信息系统.

• 请使用位于此网页上的漏洞披露通信表单披露问题.
  • 对于评分，请按照Bugcrowd的漏洞分类找到 在这里.
• 请提供有效的联系方式.
• 如果我们有问题，请回复.
• 请包括尽可能多的信息，以帮助我们重新创建的问题.
  • 安全研究人员应该包括对问题的详细技术描述.
  • 其他相关技术细节的例子:
    • 问题的屏幕截图.
    • 发生问题的URL.
    • 用于登录的ID.
    • 你注意到问题的时间等等.
    • 您的源IP.
      • (找到你的源IP, 去任何一个主要的搜索引擎, 在搜索框中输入“我的IP是什么”, 和搜索. 返回的数字看起来像这样:255.255.255.255).

如果你已经(或可能)伤害了州立农业公司的客户, 州立农场业务, 州立农场公司, 或州立农场供应商, 你没有遵守这项政策. 

不合规的例子包括但不限于:

• 公开披露信息安全问题(e).g. (在社交媒体上)，没有得到State Farm的书面同意. 这包括利用方法或代码.
• 披露任何资料(例如.g. 客户记录、密码)公开(e.g. 在聊天室，在社交媒体上，对你的朋友).
• 创建欺诈性记录.
• 访问或修改不属于您的帐户中的数据.
• 执行或试图执行任何类型的“拒绝服务”攻击.
• 社会工程(e).g. 网络钓鱼、借口电话).
• 使用(e.g. 上传(电邮)恶意软件或保安工具.
• 与State Farm客户的任何互动(例如.g. 不请自来的电子邮件).
• 任何互动(i).e. 与State Farm供应商沟通，测试).
• 在披露后进行持续测试.