Divulgação responsável
Na Ayvens, consideramos que a segurança dos nossos sistemas é uma prioridade. No entanto, apesar do cuidado que temos em relação à segurança, sabemos que as vulnerabilidades continuarão a persistir. Se detetares vulnerabilidades, gostaríamos de ser notificados assim que possível, para que possamos tomar as medidas apropriadas para as corrigir rapidamente.
Tem em atenção que a nossa política de divulgação responsável não é um convite para investigar ativamente os nossos serviços de rede / internet ou para descobrir vulnerabilidades. Essas análises suscitam alertas junto da nossa equipa de segurança e podem levar a investigações de segurança (dispendiosas).
O que pedimos:
- Envia os teus alertas por e-mail para responsible-disclosure@ayvens.com. Oculta as descobertas através de encriptação usando a nossa chave PGP para impedir que informações confidenciais caiam nas mãos erradas.
- Não tires proveito da vulnerabilidade ou problema que descobriste.
- Não reveles o problema a outras pessoas até que ele tenha sido resolvido.
- Não uses ataques à segurança física, engenharia social, negação de serviço distribuída (DDoS), Spam ou aplicações de terceiros.
- Fornece informações adequadas para reproduzir o problema, para que possamos resolvê-lo o mais rápido possível. Normalmente, o endereço IP ou o URL do sistema afetado e uma descrição da vulnerabilidade serão suficientes, embora mais informações possam ser necessárias para vulnerabilidades mais complexas.
O que prometemos fazer na Ayvens Digital
- A nossa equipa de segurança digital confirmará o recebimento dentro de dois dias úteis.
- Responderemos ao teu incidente dentro de três dias úteis com a nossa avaliação do incidente e uma data prevista para a resolução.
- Trataremos sempre a tua notificação confidencialmente e nunca partilharemos os teus dados pessoais com terceiros, exceto quando obrigados por lei ou por decisão judicial.
- Serás informado do progresso na resolução do problema.
- Serás consultado sobre se e como o problema será tornado público. Nunca o faremos antes que o problema seja resolvido. Se tornarmos o problema público, serás nomeado por identificá-lo, mas apenas se o quiseres.
O que reportar
Por favor comunique:
- Ocorrência persistente de Cross Site Scripting (XSS)
- Cross Site Request Forgery (CSRF)
- Falha de autenticação \ Broken Authentication
- XML Injections (XXE)
- Remote Code Execution (RCE)
- SQL Injection (SQLi)
- Vulnerabilidades relacionadas com encriptação com exploit POC
- Authentication Bypass (Acesso não autorizado a dados sensíveis)
- Cross Tenant Data Leak
- Directory Traversal
- Falha de configuração de segurança com impacto severo. Estas serão avaliados caso a caso.
Por favor * não * comunique:
Qualquer tipo de ataque de negação de serviço (Brute Force attacks)
o Username Dictionary Attack
o OTP ou MFA Brute Force sendo que estes são maioritariamente fornecidos por terceiras partes
o Esquecimento de senha para bloqueio de conta
Missing Rate Limiting Protection
Relacionadas com Cookies:
o Marca “Secure” omissa no cookie
o Marca “HTTPOnly” omissa no cookie
Social Engineering & Hacking
Self-XSS
Páginas de login publicamente acessíveis para CMS/Administrative area
Vulnerabilidade de negação de serviço (DOS/DDOS)
Relacionadas com cabeçalhos de segurança, tais como, mas não limitadas a:
o HTTP Strict Transport Security (HSTS)
o Public Key Pinning (HPKP)
o X-XSS-Protection
o X-Content-Options
o X-Content-Security-Policy (CSP)
o X-Webkit-CSP
HTTP Header Methods:
o HTTP Trace method ativado
o Exceção a métodos de cabeçalho OPTIONS, PUT, DELETE; (Apenas com exploit em curso)
Host Header Injection
Clickjacking e vetores de ataque exploráveis relacionados
Fingerprinting:
o Banner Grabbing
o Revelação de versão de serviços públicos
Cross-Site Request Forgery (CSRF) em formulários disponíveis publicamente para utilizador anónimo:
o Formulário de contacto
o Formulário de Login
Atributo Autocomplete desativado
•Vulnerabilidades SSL/TLS relacionadas com configuração sem Exploit em curso:
o Informação de versão
o Cifras fracas
o SSL Forward Secrecy não ativada
o Ataques SSL que não sejam exploráveis remotamente
Relacionado com o E-mail:
o SPF
o DKIM
o DMARC
Relacionado com o DNS e Infraestrutura:
o Domínios expirados ou inativos
o DNSSEC omisso
o Localhost DNS record
Divulgação de ficheiros públicos ou não sensíveis tais como robots.txt
Páginas de erro Http 404
Same Site Scripting
Como reportar
Descreve o problema encontrado tão explícita e detalhadamente quanto possível e inclui qualquer evidência que possas ter. Podes ter em consideração que a notificação será recebida por especialistas em segurança, designadamente a equipa de segurança Ayvens. Envia os relatórios em inglês. Recomendamos também que envies o e-mail ocultado por encriptação. Por favor, usa a chave PGP localizada no fundo desta página.
Inclui os seguintes dados no teu email de divulgação:
- Qual (tipo) vulnerabilidade
- Etapas tomadas para reproduzir a ocorrência
- URL completo e Payload
- Screenshots
Recompensas
Vincamos que, neste momento, a Ayvens não pode oferecer recompensas por relatórios de bugs (de segurança).
Privacidade
Para seguimento da ocorrência iremos pedir-te detalhes de contacto (nome, e-mail, chave PGP e opcionalmente um número de telefone), a não ser que optes por reportar anonimamente.
As tuas informações pessoais são usadas apenas para te contactar e tomar medidas em relação à vulnerabilidade que reportaste. Não partilharemos os seus dados pessoais a terceiros sem a sua permissão, a menos que a lei o exija ou quando uma organização externa assuma a investigação da vulnerabilidade reportada. Nesse caso, garantiremos que a autoridade aplicável trata os seus dados pessoais confidencialmente e permaneceremos responsáveis pelos mesmos.