Divulgação responsável

Na LeasePlan, consideramos que a segurança dos nossos sistemas é uma prioridade. No entanto, apesar do cuidado que temos em relação à segurança, sabemos que as vulnerabilidades continuarão a persistir. Se detetares vulnerabilidades, gostaríamos de ser notificados assim que possível, para que possamos tomar as medidas apropriadas para as corrigir rapidamente.

Tem em atenção que a nossa política de divulgação responsável não é um convite para investigar ativamente os nossos serviços de rede / internet ou para descobrir vulnerabilidades. Essas análises suscitam alertas junto da nossa equipa de segurança e podem levar a investigações de segurança (dispendiosas).

 

O que pedimos:

  • Envia os teus alertas por e-mail para responsible-disclosure@leaseplan.com. Oculta as descobertas através de encriptação usando a nossa chave PGP para impedir que informações confidenciais caiam nas mãos erradas.
  • Não tires proveito da vulnerabilidade ou problema que descobriste.
  • Não reveles o problema a outras pessoas até que ele tenha sido resolvido.
  • Não uses ataques à segurança física, engenharia social, negação de serviço distribuída (DDoS), Spam ou aplicações de terceiros.
  • Fornece informações adequadas para reproduzir o problema, para que possamos resolvê-lo o mais rápido possível. Normalmente, o endereço IP ou o URL do sistema afetado e uma descrição da vulnerabilidade serão suficientes, embora mais informações possam ser necessárias para vulnerabilidades mais complexas.
 

O que prometemos fazer na LeasePlan Digital

  • A nossa equipa de segurança digital confirmará o recebimento dentro de dois dias úteis.
  • Responderemos ao teu incidente dentro de três dias úteis com a nossa avaliação do incidente e uma data prevista para a resolução.
  • Trataremos sempre a tua notificação confidencialmente e nunca partilharemos os teus dados pessoais com terceiros, exceto quando obrigados por lei ou por decisão judicial.
  • Serás informado do progresso na resolução do problema.
  • Serás consultado sobre se e como o problema será tornado público. Nunca o faremos antes que o problema seja resolvido. Se tornarmos o problema público, serás nomeado por identificá-lo, mas apenas se o quiseres.

O que reportar

Por favor comunica:

  • Ocorrência persistente de Cross Site Scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • Falha de autenticação \ Broken Authentication
  • XML Injections (XXE)
  • Remote Code Execution (RCE)
  • SQL Injection (SQLi)
  • Vulnerabilidades relacionadas com encriptação com exploit POC
  • Authentication Bypass (Acesso não autorizado a dados sensíveis)
  • Cross Tenant Data Leak
  • Directory Traversal
  • Falha de configuração de segurança com impacto severo. Estas serão avaliados caso a caso.

Por favor * não * comuniquem:

  • Qualquer tipo de ataque de negação de serviço (Brute Force attacks)
    o Username Dictionary Attack
    o OTP ou MFA Brute Force sendo que estes são maioritariamente fornecidos por terceiras partes
    o Esquecimento de senha para bloqueio de conta
  • Missing Rate Limiting Protection
  • Relacionadas com Cookies:
    o Marca “Secure” omissa no cookie
    o Marca “HTTPOnly” omissa no cookie
  • Social Engineering & Hacking
  • Self-XSS
  • Páginas de login publicamente acessíveis para CMS/Administrative area
  • Vulnerabilidade de negação de serviço (DOS/DDOS)
  • Relacionadas com cabeçalhos de segurança, tais como, mas não limitadas a:
    o HTTP Strict Transport Security (HSTS)
    o Public Key Pinning (HPKP)
    o X-XSS-Protection
    o X-Content-Options
    o X-Content-Security-Policy (CSP)
    o X-Webkit-CSP
  • HTTP Header Methods:
    o HTTP Trace method ativado
    o Exceção a métodos de cabeçalho OPTIONS, PUT, DELETE; (Apenas com exploit em curso)
  • Host Header Injection
  • Clickjacking e vetores de ataque exploráveis relacionados
  • Fingerprinting:
    o Banner Grabbing
    o Revelação de versão de serviços públicos
  • Cross-Site Request Forgery (CSRF) em formulários disponíveis publicamente para utilizador anónimo:
    o Formulário de contacto
    o Formulário de Login
  • Atributo Autocomplete desativado
    •Vulnerabilidades SSL/TLS relacionadas com configuração sem Exploit em curso:
    o Informação de versão
    o Cifras fracas
    o SSL Forward Secrecy não ativada
    o Ataques SSL que não sejam exploráveis remotamente
  • Relacionado com o E-mail:
    o SPF
    o DKIM
    o DMARC
  • Relacionado com o DNS e Infraestrutura:
    o Domínios expirados ou inativos
    o DNSSEC omisso
    o Localhost DNS record
  • Divulgação de ficheiros públicos ou não sensíveis tais como robots.txt
  • Páginas de erro Http 404
  • Same Site Scripting

Como reportar

Descreve o problema encontrado tão explícita e detalhadamente quanto possível e inclui qualquer evidência que possas ter. Podes ter em consideração que a notificação será recebida por especialistas em segurança, designadamente a equipa de segurança LeasePlan. Envia os relatórios em inglês. Recomendamos também que envies o e-mail ocultado por encriptação. Por favor, usa a chave PGP localizada no fundo desta página.

Inclui os seguintes dados no teu email de divulgação:

  • Qual (tipo) vulnerabilidade
  • Etapas tomadas para reproduzir a ocorrência
  • URL completo e Payload
  • Screenshots

Recompensas

A LeasePlan agradece o teu empenho em ajudar-nos a otimizar os nossos sistemas e processos. Portanto, na maioria das circunstâncias, serás elegível a um prémio adequado. Mantemos reserva sobre a decisão final relativamente ao prémio, seja um prémio monetário, seja a sua quantidade ou valor - é uma decisão que fica inteiramente ao nosso critério.

Não iremos recompensar se:

  • O problema já foi reportado. Nesse caso, apenas o primeiro a reportar será recompensado.
  • Se resides num país que está na lista de sanções.
  • O problema já é conhecido.
  • As regras não são respeitadas.

Privacidade

Para dar seguimento iremos pedir-te detalhes de contacto (nome, e-mail, chave PGP e opcionalmente um número de telefone) a não ser que optes por reportar anonimamente.

As tuas informações pessoais são usadas apenas para te contactar e tomar medidas em relação à vulnerabilidade que reportaste. Não distribuiremos os teus dados pessoais a terceiros sem a tua permissão. A menos que a lei exija que forneçamos os teus dados pessoais ou quando uma organização externa assume a investigação da vulnerabilidade reportada. Nesse caso, garantiremos que a autoridade aplicável trata os teus dados pessoais confidencialmente. Permaneceremos responsáveis pelos teus dados pessoais.

Envia-nos um email com as tuas conclusões

Oculta os dados através de encriptação usando a nossa chave PGP para impedir que informações confidenciais caiam nas mãos erradas.

enviar email