Divulgação responsável

Tem em atenção que a nossa política de divulgação responsável não é um convite para investigar ativamente os nossos serviços de rede / internet ou para descobrir vulnerabilidades. Essas análises suscitam alertas junto da nossa equipa de segurança e podem levar a investigações de segurança (dispendiosas).

Por favor comunica:

• •
  Ocorrência persistente de Cross Site Scripting (XSS)
• •
  Cross Site Request Forgery (CSRF)
• •
  Falha de autenticação \ Broken Authentication
• •
  XML Injections (XXE)
• •
  Remote Code Execution (RCE)
• •
  SQL Injection (SQLi)
• •
  Vulnerabilidades relacionadas com encriptação com exploit POC
• •
  Authentication Bypass (Acesso não autorizado a dados sensíveis)
• •
  Cross Tenant Data Leak
• •
  Directory Traversal
• •
  Falha de configuração de segurança com impacto severo. Estas serão avaliados caso a caso.

Por favor * não * comuniquem:

• •

  Qualquer tipo de ataque de negação de serviço (Brute Force attacks)

  o Username Dictionary Attack

  o OTP ou MFA Brute Force sendo que estes são maioritariamente fornecidos por terceiras partes

  o Esquecimento de senha para bloqueio de conta

• •

  Missing Rate Limiting Protection

• •

  Relacionadas com Cookies:

  o Marca “Secure” omissa no cookie

  o Marca “HTTPOnly” omissa no cookie

• •

  Social Engineering & Hacking

• •

  Self-XSS

• •

  Páginas de login publicamente acessíveis para CMS/Administrative area

• •

  Vulnerabilidade de negação de serviço (DOS/DDOS)

• •

  Relacionadas com cabeçalhos de segurança, tais como, mas não limitadas a:

  o HTTP Strict Transport Security (HSTS)

  o Public Key Pinning (HPKP)

  o X-XSS-Protection

  o X-Content-Options

  o X-Content-Security-Policy (CSP)

  o X-Webkit-CSP

• •

  HTTP Header Methods:

  o HTTP Trace method ativado

  o Exceção a métodos de cabeçalho OPTIONS, PUT, DELETE; (Apenas com exploit em curso)

• •

  Host Header Injection

• •

  Clickjacking e vetores de ataque exploráveis relacionados

• •

  Fingerprinting:

  o Banner Grabbing

  o Revelação de versão de serviços públicos

• •

  Cross-Site Request Forgery (CSRF) em formulários disponíveis publicamente para utilizador anónimo:

  o Formulário de contacto

  o Formulário de Login

• •

  Atributo Autocomplete desativado

  •Vulnerabilidades SSL/TLS relacionadas com configuração sem Exploit em curso:

  o Informação de versão

  o Cifras fracas

  o SSL Forward Secrecy não ativada

  o Ataques SSL que não sejam exploráveis remotamente

• •

  Relacionado com o E-mail:

  o SPF

  o DKIM

  o DMARC

• •

  Relacionado com o DNS e Infraestrutura:

  o Domínios expirados ou inativos

  o DNSSEC omisso

  o Localhost DNS record

• •

  Divulgação de ficheiros públicos ou não sensíveis tais como robots.txt

• •

  Páginas de erro Http 404

• •

  Same Site Scripting

Descreve o problema encontrado tão explícita e detalhadamente quanto possível e inclui qualquer evidência que possas ter. Podes ter em consideração que a notificação será recebida por especialistas em segurança, designadamente a equipa de segurança LeasePlan. Envia os relatórios em inglês. Recomendamos também que envies o e-mail ocultado por encriptação. Por favor, usa a chave PGP localizada no fundo desta página.

Inclui os seguintes dados no teu email de divulgação:

• •
  Qual (tipo) vulnerabilidade
• •
  Etapas tomadas para reproduzir a ocorrência
• •
  URL completo e Payload
• •
  Screenshots

A LeasePlan agradece o teu empenho em ajudar-nos a otimizar os nossos sistemas e processos. Portanto, na maioria das circunstâncias, serás elegível a um prémio adequado. Mantemos reserva sobre a decisão final relativamente ao prémio, seja um prémio monetário, seja a sua quantidade ou valor - é uma decisão que fica inteiramente ao nosso critério.

Não iremos recompensar se:

• •
  O problema já foi reportado. Nesse caso, apenas o primeiro a reportar será recompensado.
• •
  Se resides num país que está na lista de sanções.
• •
  O problema já é conhecido.
• •
  As regras não são respeitadas.

Para dar seguimento iremos pedir-te detalhes de contacto (nome, e-mail, chave PGP e opcionalmente um número de telefone) a não ser que optes por reportar anonimamente.

As tuas informações pessoais são usadas apenas para te contactar e tomar medidas em relação à vulnerabilidade que reportaste. Não distribuiremos os teus dados pessoais a terceiros sem a tua permissão. A menos que a lei exija que forneçamos os teus dados pessoais ou quando uma organização externa assume a investigação da vulnerabilidade reportada. Nesse caso, garantiremos que a autoridade aplicável trata os teus dados pessoais confidencialmente. Permaneceremos responsáveis pelos teus dados pessoais.