Sécurité de Lyft

Les chauffeurs et les passagers de Lyft nous confient leurs renseignements personnels et les détails de leurs déplacements afin que nous puissions les amener à destination. Nous travaillons fort pour assurer la sécurité de Lyft et protéger les données de nos utilisateurs.

Problèmes touchant la sécurité des chauffeurs et des passagers

Notre équipe responsable de la confiance et de la sécurité est disponible 24 heures sur 24 pour prendre soin de notre communauté. Si vous êtes impliqué dans un incident qui, selon vous, menace votre sécurité personnelle, veuillez appeler les autorités en composant le 911 ou votre ligne d’assistance non urgente locale. Appelez ensuite notre Ligne d’aide d’urgence au moyen de notre outil d’appel. tool.

Signalement des fraudes impliquant des chauffeurs et des passagers

Si vous souhaitez signaler une activité frauduleuse sur votre compte Lyft, veuillez communiquer avec notre équipe d’assistance.

Signalement de vulnérabilités en matière de sécurité

Si vous croyez avoir découvert un bogue ou une vulnérabilité en matière de sécurité dans les services de Lyft, veuillez nous le signaler en vous rendant sur la page Lyft Hackerone et en cliquant sur le lien « Contact Security Team » (Communiquer avec l’équipe de sécurité). Nous procèderons à des investigations et vous répondrons dès que possible. Veuillez vous abstenir de révéler vos découvertes tant que nous n’avons pas eu l’occasion de les examiner et d’en discuter avec vous. Nous vous sommes reconnaissants de contribuer à assurer la sécurité de Lyft pour notre communauté. Vous pouvez aussi envoyer un courriel à bugbounty@lyft.com. Pour participer à notre programme de prime aux bogues, vous devez respecter l’intégralité de la politique de prime aux bogues énoncée ci-après.

Politique de prime aux bogues

Admissibilité au programme

Afin de participer au programme de primes aux bogues de Lyft :

  • Vous devez être âgé d’au moins 18 ans.
  • Vous ne devez pas être employé par Lyft ou un membre de son groupe ou être un membre de la famille immédiate d’une personne employée par Lyft ou un membre de son groupe.
  • Vous ne devez pas résider dans un pays auquel les États-Unis ont imposé des sanctions à l’exportation ou d’autres restrictions commerciales ni signaler un bogue ou une vulnérabilité en matière de sécurité à partir d’un tel pays.
  • Vous ne devez pas contrevenir à une loi ou à un règlement national, étatique ou local dans le cadre d’activités liées directement ou indirectement au programme de primes aux bogues de Lyft.

Politique et règles de signalement

  • Si vous croyez avoir découvert un bogue ou une vulnérabilité en matière de sécurité, veuillez nous le signaler dès que possible.
  • Ne révélez pas vos découvertes à d’autres personnes tant que nous n’avons pas eu l’occasion d’y donner suite. En gardant vos signalements confidentiels jusqu’à ce que nous les résolvions, vous contribuez à assurer la sécurité de Lyft pour l’ensemble de notre communauté.
  • Les chercheurs doivent respecter les directives en matière de signalement de HackerOne.
  • Il s’agit d’un programme privé. Si un chercheur révèle de l’information sur une vulnérabilité qui a été corrigée, il doit la dépersonnaliser; le contenu présenté ne doit pas inclure de texte ou d’images permettant de retracer la marque. Cette exigence permet d’assurer la sécurité de nos utilisateurs et de nos chauffeurs pendant que nous réglons les problèmes existants.
  • Veuillez lire attentivement et soigneusement l’information sur le champ d’application du programme ainsi que sur les interdictions et les exclusions afin d’être certain de vous consacrer au repérage de vulnérabilités qui s’inscrivent dans le champ d’application du programme de primes.
  • Nous déconseillons l’utilisation d’outils de test de vulnérabilité ou d’autres outils qui génèrent des volumes de trafic importants; l’utilisation de ces outils pourrait vous rendre inadmissible à une récompense.

Non admissibles à une récompense

  • XSS nécessitant d’anciens navigateurs
  • Auto-XSS
  • Meilleures pratiques relatives au protocole SSL/TLS
  • Téléchargement de fichiers reflétés (RFD)
  • Divulgation de la version logicielle
  • Divulgation du chemin ou du nom d’hôte dans les messages d’erreur
  • Falsification de requête intersites (CSRF) entraînant une déconnexion
  • En-tête HTTP manquant n’entraînant pas de vulnérabilité directe
  • Indicateurs de témoins manquants, sauf si leur absence peut être exploitée à mauvais escient par un processus légitime
  • Détournement de clics sans répercussions démontrées
  • Énumération de comptes au moyen d’attaques par force brute
  • Exécution de commandes CSV

À l’extérieur du champ d’application

  • Sites Web de tiers utilisés par l’application, les sites Web ou des membres du groupe de Lyft
  • Implémentations de tiers intégrant la trousse SDK de Lyft

Interdictions et exclusions

Pendant vos recherches, il vous est interdit de poser les actions suivantes :

  • Attaques par déni de service
  • Attaques par force brute
  • Pollupostage
  • Piratage psychologique (y compris l’hameçonnage) visant des membres du personnel, des passagers ou des chauffeurs de Lyft
  • Tentatives physiques visant des biens ou des centres de données de Lyft
  • Consultation, collecte, enregistrement, téléchargement, stockage, suppression ou modification de données confidentielles ou exclusives, y compris des données d’utilisateur et des données personnelles
  • Perturbation, interruption ou désactivation de systèmes ou autre action rendant des données inaccessibles

Si, à tout moment pendant la recherche d’une vulnérabilité, vous n’êtes pas certain s’il convient de continuer ou non, veuillez communiquer immédiatement avec notre équipe responsable des primes aux bogues. N’assortissez pas votre signalement de conditions afin d’éviter l’apparence même d’une demande de rançon ou d’une tentative d’extorsion en lien avec votre découverte.

Veuillez vous abstenir de consulter, d’enregistrer, de télécharger ou de stocker des renseignements permettant d’identifier une personne. Cela vous rendrait automatiquement inadmissible à une prime.

Droits et licences

Nous pouvons modifier la présente politique sur le programme de primes aux bogues ou annuler le programme de primes aux bogues à tout moment.
En signalant un bogue ou une vulnérabilité en matière de sécurité, vous déclarez et garantissez que vous êtes à l’origine du signalement et que vous avez le droit de le soumettre.
En signalant un bogue ou une vulnérabilité en matière de sécurité, vous nous donnez le droit d’utiliser votre signalement à quelque fin que ce soit.

Préoccupations en matière de sécurité de l’information

Les questions relatives à la sécurité de l’information qui ne se rapportent pas à une activité frauduleuse peuvent être adressées à security@lyft.com. Les chercheurs en sécurité ayant décelé des vulnérabilités potentielles dans nos services peuvent communiquer avec nous par le truchement de notre programme de primes aux bogues.