Umum / Kolaborasi
Untuk pertanyaan konten, kerja sama komunitas, atau diskusi umum:
Kontak & Responsible Disclosure
Jika Anda ingin berdiskusi, kolaborasi, atau melaporkan kerentanan keamanan, gunakan kanal resmi di halaman ini agar komunikasi cepat dan terarah.
Kanal Kontak Resmi
Pelaporan Keamanan
Untuk laporan kerentanan, kirim ke:
Media Sosial
Update publik tersedia di:
Responsible Disclosure Guidelines
Kami menghargai kontribusi peneliti keamanan yang melaporkan temuan secara etis. Kebijakan ini dirancang untuk melindungi pengguna, peneliti, dan proses perbaikan.
1) Prinsip Utama
- Lakukan pengujian hanya pada aset yang Anda miliki izin legalnya.
- Hindari akses, perubahan, atau penghapusan data pengguna.
- Jangan melakukan DoS, spam, brute force masif, atau social engineering.
- Jangan mempublikasikan detail kerentanan sebelum perbaikan tersedia.
2) Scope Pelaporan (SiberInd)
- Aset utama:
siberind.comdan subdomain resmi terkait. - Masalah pada layanan pihak ketiga di luar kendali kami tidak termasuk scope langsung.
- Temuan yang membutuhkan interaksi fisik atau insider abuse biasanya di luar scope.
3) Informasi yang Perlu Disertakan
- Ringkasan kerentanan dan dampak bisnis/teknis.
- Langkah reproduksi yang jelas (step-by-step).
- URL/endpoint terdampak, parameter, serta contoh request/response.
- Proof of Concept yang aman dan minim risiko.
- Perkiraan tingkat keparahan (opsional: CVSS).
- Rekomendasi mitigasi (opsional).
4) Safe Harbor (itikad baik)
Selama Anda bertindak dengan itikad baik, mengikuti batasan di atas, dan segera melapor melalui kanal resmi, kami tidak akan memperlakukan aktivitas riset Anda sebagai tindakan bermusuhan.
5) SLA Tanggapan
- Konfirmasi penerimaan laporan: maksimal 3 hari kerja.
- Triase awal dan validasi: 7–14 hari kerja (tergantung kompleksitas).
- Update status berkala akan diberikan hingga isu ditutup.
6) Disclosure Publik
Kami mendorong disclosure terkoordinasi. Setelah perbaikan dirilis, kami dapat berdiskusi terkait publikasi temuan dan atribusi nama peneliti (jika diinginkan).
FAQ Singkat
Apakah ada bug bounty berhadiah?
Saat ini belum ada program bug bounty publik permanen. Namun setiap laporan valid tetap sangat diapresiasi dan bisa mendapatkan pengakuan.
Bolehkah saya scan otomatis seluruh domain?
Hindari scanning agresif tanpa koordinasi karena dapat mengganggu layanan. Jika Anda perlu pengujian ekstensif, lakukan komunikasi terlebih dahulu via email keamanan.
Apakah laporan anonim diterima?
Diterima, selama detail teknis cukup untuk reproduksi dan mitigasi.
Kirim Laporan Sekarang
Email keamanan: [email protected]