Como denuncio uma vulnerabilidade de segurança?

Divulgação responsável

Temos o compromisso de proteger as informações de nossos clientes. Se você acredita que identificou uma vulnerabilidade de segurança, agradecemos sua ajuda para divulgá-la de maneira responsável, através de uma notificação por e-mail para security@vyond.com.

A segurança é muito importante para nós, por isso, investigaremos e responderemos a todas as denúncias de vulnerabilidade. Temos muito interesse nas vulnerabilidades associadas ao vyond.com.

Observe os seguintes pontos:

  • Descreva as falhas em detalhes suficientes e indique as ramificações das vulnerabilidades.
  • Inclua uma prova de conceito reproduzível, se aplicável, como fragmentos de código, URLs de solicitação e cargas de ataque, capturas de tela, arquivos de rastreamento de pacote ou captura de vídeo que demonstrem a vulnerabilidade. Se for possível, indique materiais de referência em sites externos, caso possam nos ajudar a entender melhor a natureza do problema.
  • Evite denunciar vários tipos de vulnerabilidades no mesmo e-mail, pois isso pode nos impedir de agregar relatórios de vulnerabilidades semelhantes, impossibilitando a identificação rápida de vulnerabilidades críticas. Caso queira informar várias vulnerabilidades, envie um e-mail para cada tipo de vulnerabilidade.
  • Não faça testes que possam afetar nossos clientes ou levar à degradação do serviço, como ataques de negação de serviço, engenharia social e spam. É necessário obter aprovação do Vyond antes do uso de scanners automatizados no site, como o Burp ou Acunetix, pois isso gera um grande volume de solicitações em um curto período.
  • Você não tem permissão para realizar testes de penetração em nível de host.
  • Você não pode colher informações associadas a qualquer conta que não seja a sua. Caso tenha encontrado tais informações acidentalmente, você deve denunciar a vulnerabilidade e eliminar todas as cópias de dados de terceiros armazenadas localmente.
  • Mantenha suas descobertas em segredo até que tenhamos confirmado e corrigido os problemas.
  • Podemos entrar em contato com você para solicitar informações adicionais caso as informações fornecidas não sejam suficientes para entender o contexto dos problemas denunciados.
  • Entraremos em contato com você entre 1 dia útil e 3 semanas, dependendo da gravidade do problema e da qualidade das informações fornecidas. Não nos bombardeie com consultas de verificação de status.
  • Informações boas o suficiente qualificarem podem tornar você elegível para o nosso Hall da Fama, conforme descrito abaixo.

Hall da Fama

Se você descobrir uma vulnerabilidade grave, agradecemos sua contribuição, reconhecendo seus esforços no nosso Hall da Fama, conforme as seguintes disposições:

  • Se recebermos várias denúncias da mesma vulnerabilidade, apenas a primeira denúncia útil será reconhecida.
  • A Vyond se reserva o direito de escolher a "primeira denúncia útil" ao avaliar fatores que incluem, entre outros, o horário de recebimento e a integridade do envio. O princípio que orienta a avaliação da utilidade se baseia no quanto o envio por si só nos ajudou a identificar e corrigir uma vulnerabilidade específica que se qualifique para um reconhecimento.
  • Ao enviar uma vulnerabilidade para nós, você concorda que a decisão de proporcionar um reconhecimento permanece a critério exclusivo da Vyond.
  • Da mesma forma, a Vyond se reserva o direito de recusar qualquer denúncia de vulnerabilidade, a nosso critério.
  • Os agradecimentos estão listados atualmente na página de divulgação de segurança. A Vyond se reserva o direito de realocar o conteúdo para outro URL, conforme seja necessário no futuro, devido à reestruturação do site ou por qualquer outro motivo.
  • Não ofereceremos nenhuma compensação monetária.
  • Observe que as vulnerabilidades de roubo de cliques (clickjacking) e falsificação de solicitação entre sites (CSRF) só são analisadas quando ocorrerem em sites e páginas onde haja facilidade de exploração e risco para o vyond.com.

O Programa de Divulgação de Segurança está sujeito a alterações ou cancelamento pela Vyond a qualquer momento, sem aviso prévio. Da mesma forma, a Vyond pode alterar esses termos a qualquer momento, mediante a publicação de uma versão revisada em nosso site.

Problemas conhecidos e itens especiais

Confira aqui alguns dos itens denunciados com frequência, os quais estamos em processo de resolver ou decidimos não abordar neste momento. As denúncias relacionadas a esses itens não são elegíveis para reconhecimento no Hall da Fama:

  • Problemas de gerenciamento de sessão relacionados ao vyond.com e a sessões de longa duração e vulnerabilidades que necessitam da repetição de cookies.
  • Falta de cabeçalhos de segurança específicos (por exemplo, HSTS).

Observe que os sites de serviço da Vyond que não fazem parte de nossos aplicativos web não fazem parte do escopo do nosso programa de divulgação responsável e não são elegíveis para o Hall da Fama.

  • Endpoints de terceiros (a menos que um método de integração inseguro seja usado em nossos aplicativos web que fazem parte do escopo)
  • Site de marketing da Vyond (ou seja, www.vyond.com)
  • Site da comunidade da Vyond (community.vyond.com)
  • Site de atendimento da Vyond ( support.vyond.com/help.vyond.com)

A seguir, apresentamos uma lista de exemplos de vulnerabilidades elegíveis e inelegíveis, respectivamente, para inclusão no Hall da Fama. As listas não são exaustivas.

Exemplos de vulnerabilidades que se qualificam

  • Bypass de autenticação
  • Cross-site scripting
  • Execução do código do lado do servidor
  • Injeção de SQL
  • Escalonamento de privilégios
  • Exposição de informações confidenciais

Exemplos de vulnerabilidades que não se qualificam

  • Negação de serviço
  • Engenharia social
  • Sequências de comando de conteúdo misto
  • Cookies inseguros
  • Vulnerabilidades que exigem que uma vítima em potencial instale um software não padrão ou tome outras medidas ativas para se tornar suscetível
  • Vulnerabilidades específicas para navegadores desatualizados
  • Divulgação de banner do lado do servidor web
  • Transferência de tokens potencialmente confidenciais em solicitações HTTP para widgets de terceiros pré-autorizados

Queremos agradecer às seguintes pessoas por denunciar vulnerabilidades de maneira responsável.

Obrigado!

  • Rodolfo Godalle (@rodgodalle)
  • Koutrouss Naddara
  • Osama Mahmood
  • Thatipalli Abhishek
  • Mihir Mistry
  • Ch. Muhammad Osama (@ChMuhammadOsama)
  • Arvind Singh Shekhawat (@EhArvindSingh)
  • JAYVARDHAN SINGH (@Silent_Screamr)
  • Saurabh Chandrakant Nemade (@SaurabhNemade)
  • Anurag Giri
  • Mahipal Singh Rajpurohit (@rajgurumahi007)
  • Sebastian Neef e Richard Kwasnicki
  • Renatas Karpuška
  • Muhammad Talha Khan (@M7K911)
  • Kesav Viswanath Nimmagadda (@kesavnimmagadda)
  • Kamil Sevi (@kamilsevi)
  • Ajay Singh Negi (@AjaySinghNegi)
  • Nadi Abdellah
  • Roy Jansen (@RoyJansen_01
  • Jaidip Kotak (@JaidipKotak)
  • Ahmed Y. Elmogy
  • Ramin Farajpour Cami (@MF4rr3ll)
  • Ahmed Jerbi
  • Ayoub Ait Elmokhtar (@aessadek)
  • Sandeep Sudhagani
  • ABDULWAHAB Khan (@hackerwahab)
  • Pal Patel
  • RAVENAL PRAMOD KUMAR (@PramodRavela)
  • İsmail BÜLBÜL (Usgf.org.tr)
  • Ismail Tasdelen
  • Faizan Ahmed
  • Ather Iqbal
  • Hanz Gumapac
  • Akash Pandey (@HNTR03)
  • Sagar Kumar Patra (@SagarPatra2705)
Esse artigo foi útil?
Usuários que acharam isso útil: 2 de 2
Tem mais dúvidas? Envie uma solicitação