Retningslinjer for ansvarlig rapportering av sårbarhet

Hvis du mener du har funnet et sikkerhetsproblem på nettsidene eller i appene våre, oppfordrer vi deg til å varsle oss med det samme. Vi undersøker alle rettmessig innrapporterte saker og gjør vårt beste for å løse problemet raskt. Før du rapporterer et problem, ber vi deg likevel lese gjennom informasjonen på denne siden og legge merke til hvilke saker som ikke skal rapporteres inn via denne kanalen.

Bruk lenkene nedenfor hvis du ønsker å rapportere et annet problem.

– LEGO® Account. Selvbetjening på https://identity.lego.com
– Shop@home, VIP og andre problemer https://www.lego.com/service
– Forbrukerservice https://www.lego.com/service
– Personvernrelaterte saker. Kontakt vårt personvernombud som beskrevet på https://www.lego.com/legal/legal-notice/privacy-policy

Så lenge du følger retningslinjene under når du rapporterer et sikkerhetsproblem til oss, vil vi ikke gå til rettslige skritt mot deg. Vi ber om at:

– du gir oss tilstrekkelig tid til å undersøke og løse problemet du rapporterer, før du offentliggjør eller deler informasjonen med andre.
– du ikke utnytter en privat konto (herunder gjør endringer eller skaffer deg tilgang til data som er knyttet til denne kontoen) dersom kontoeieren ikke har samtykket til dette.
– du oppriktig forsøker å unngå handlinger som medfører brudd på personvernet eller forstyrrelser for andre, inkludert (men ikke begrenset til) å slette data og forstyrre eller begrense våre tjenester.
– du ikke utnytter eventuelle sikkerhetshull du måtte oppdage på noen som helst måte. (Dette omfatter også å demonstrere ytterligere risiko, for eksempel forsøk på å avsløre sensitive bedriftsdata eller lete etter flere svakheter.)
– du ikke bryter gjeldende lover og forskrifter.

Vi tilbyr ingen belønning for å avdekke feil.

Forhold som ikke dekkes av disse retningslinjene

– Spam eller forsøk på sosial manipulering.
– Tjenestenektangrep
– Injeksjonsangrep Posting av innhold på LEGO.com er en sentral funksjon, og injisering av innhold (også kalt “content spoofing” eller “HTML-injeksjon”) aksepteres ikke, med mindre du tydelig kan demonstrere en betydelig risiko.
– Sikkerhetsproblemer i tredjepartsapper eller -nettsteder som bærer LEGOs varemerke, men er lisensiert av en samarbeidspartner. Disse administreres ikke av oss og er ikke underlagt våre retningslinjer for sikkerhetstesting.

Kontaktinformasjon
——————–

– E-post whitehat@lego.com

Vi ber deg dele følgende opplysninger:
– Gi en beskrivelse av problemet
– Fortell når du oppdaget problemet
– Forklar hvordan vi kan reprodusere det
– Del eventuelle tanker om hvordan vi kan løse problemet
– Du må gjerne dele skript og nettverksspor

Hvis du har anledning, blir vi svært glad om du skriver til oss på engelsk. Det gjør det enklere for oss å behandle henvendelsen.