MIL-CSIRT TNI mengkaji seluruh laporan kerentanan keamanan yang mempengaruhi produk dan layanan milik Markas Besar TNI. Publik dapat melaporkan temuan kerentanan dari salah satu produk atau layanan kami dengan menghubungi admin MIL-CSIRT TNI dengan melampirkan rincian temuan kerentanan yang telah ditemukan. Untuk melaporkan kerentanan dari salah satu situs web, produk, atau layanan instansi kami (*.tni.mil.id), silakan laporkan detailnya ke piket@satsiber-tni.mil.id atau melalui platform OS Ticket kami. Untuk masalah kerentanan yang kritis, Anda dapat menggunakan kunci PGP kami untuk mengenkripsi detail temuan kerentanan melalui email.

Laporan kerentanannya harus mencakup:

• Deskripsi rinci mengenai kerentanannya yang ditemukan dan dampaknya
• Tanggal dan waktu penemuan kerentanannya
• Langkah-langkah rinci yang diperlukan untuk mereproduksi kerentanannya
• Skrip PoC / contoh kode yang digunakan untuk memicu kerentanannya, jika ada
• Informasi tambahan, tangkapan layar, atau rekaman yang relevan

Kami akan:

• Menyelidiki dan memverifikasi keberadaan kerentanannya
• Menangani kerentanannya, menilai tingkat keparahannya, dan mengembangkan perbaikan jika dianggap relevan
• Memberitahukan Anda ketika kerentanannya telah diperbaiki

• Vulnerabilities obtained via the compromise of a Whereby customer or Whereby employee accounts.
• Denial of Service (DoS / DDoS) attacks against Whereby systems or services.
• User interface bugs or typos.
• Login / logout CSRF.
• Missing HTTP security headers that do not lead directly to a vulnerability.
• Presence / absence of DNS records.
• Password, email and account policies (e.g: email id verification, password complexity).
• Lack of CSRF tokens in non-sensitive actions.
• Attacks requiring physical access to a user's device.
• Report the use of a known-vulnerable library (without evidence of exploitability).
• Missing cookie flags without clearly identified security impact.
• Open redirectors.
• CSRF or clickjacking with no practical use to attackers.
• CSRF that requires the knowledge of a secret.
• Exposed metrics or other type of not confidential data.
• Missing best practices, configuration or policy suggestions.
• Vulnerabilities that require a man-in-the-middle scenario to be exploited.