Bug Bounty Program – Barantum

Barantum adalah platform CRM, Chat Omnichannel, dan Call Center terbesar di Indonesia yang membantu bisnis meningkatkan produktivitas penjualan dan layanan pelanggan. Sejak 2017, Barantum menyediakan solusi cloud untuk mengelola data pelanggan, percakapan, serta aktivitas tim dalam satu sistem terintegrasi.

Barantum berkomitmen menjaga keamanan sistem dan data pelanggan. Kami bekerja sama dengan komunitas keamanan global untuk mengidentifikasi dan memperbaiki kerentanan yang berpotensi membahayakan layanan kami. Partisipasi Anda sangat penting untuk meningkatkan kualitas dan keamanan platform Barantum.

Program Rules

  1. Laporan kerentanan dikirim ke bughunter@barantum.com.
    Laporan harus mencakup:
    • Deskripsi kerentanan secara detail
    • Langkah-langkah reproduksi yang jelas
    • Penilaian dampak
    • Ditulis dalam Bahasa Indonesia atau Inggris
  2. Satu laporan hanya berisi satu kerentanan, kecuali jika beberapa bug harus digabung (chained) untuk keperluan PoC.
  3. Laporan harus berisi kerentanan valid dan belum pernah dilaporkan sebelumnya.
    • Pelapor pertama adalah satu-satunya pihak yang mendapatkan reward.
  4. Data pribadi pelapor mungkin dibutuhkan untuk proses pembayaran bounty.
  5. Karyawan dan kontraktor Barantum tidak diperbolehkan mengikuti program.

Acknowledgements & Rewards

Reward diberikan berdasarkan tingkat keparahan menurut CVSS 3.1:

Severity Reward
Critical (9.0 – 10.0) Rp 5.000.000
High (7.0 – 8.9) Rp 3.000.000
Medium (4.0 – 6.9) Rp 1.000.000
Low (0.1 – 3.9) Rp 500.000

Persyaratan data untuk pembayaran reward:

  • WNI: KTP, NPWP, email, dan nomor rekening bank
  • WNA: Passport, email, dan nomor rekening bank

Scope

Program Bug Bounty Barantum mencakup aset berikut:

Web Applications:
Mobile Applications:

Pastikan kerentanan berada dalam scope untuk memenuhi syarat reward.

Exclusions

Out-of-Scope Assets

Semua aset yang tidak disebutkan dalam daftar scope dianggap di luar scope.

Website/API Exclusions
  • Bug pada layanan pihak ketiga
  • Clickjacking tanpa aksi sensitif
  • CSRF tanpa dampak signifikan
  • DoS dan traffic flooding
  • Bruteforce pada endpoint non-login
  • Isu pada browser tua (>2 versi)
  • Error message, banner disclosure
  • Open redirect tanpa dampak nyata
  • Self-XSS tanpa dampak ke pengguna lain
  • File publik seperti robots.txt
  • Output automated scanner tanpa PoC
  • Kehilangan best practice (CSP, cookie flag, security headers)
  • Isu infrastruktur (TLS, open ports, DMARC)
Mobile App Exclusions
  • Missing exploit mitigation (PIE, ARC)
  • Tidak ada certificate pinning
  • Data sensitif dalam request yang aman via TLS
  • Path file dalam binary
  • Exploit yang memerlukan rooted/jailbroken
  • Crash tanpa kebocoran data
  • API key pihak ketiga tanpa dampak

Data Protection

Dengan mengikuti program ini, Anda menyetujui aturan pengolahan data berikut:

Definitions
  • Agreed Purposes: pemrosesan data untuk pelaksanaan program Bug Bounty
  • Confidential Information: informasi internal Barantum
  • Data: semua informasi yang diproses selama program
  • Personal Data: data yang mengidentifikasi seseorang
  • Protection Failure: pelanggaran/kebocoran data
Obligations of Researcher
  • Menjaga kerahasiaan seluruh data
  • Tidak menggunakan data untuk tujuan pribadi
  • Tidak mendistribusikan data tanpa izin
  • Melaporkan insiden dalam 1×24 jam
  • Menghapus seluruh data setelah proses selesai
  • Tidak memalsukan atau menyalahgunakan data

Legal

  • Barantum tidak akan mengambil tindakan hukum terhadap peneliti yang mematuhi aturan.
  • Semua temuan dan laporan menjadi milik Barantum.
  • Kerugian akibat kelalaian peneliti menjadi tanggung jawab peneliti.

Contact Information

Untuk pertanyaan terkait Bug Bounty Program, hubungi:

bughunter@barantum.com

Barantum Security Team
Last Updated: January 1, 2025