Política de Divulgação de Vulnerabilidade

Última atualização: 11 de março, 2024

1. SOBRE A POLÍTICA DE DIVULGAÇÃO DE VULNERABILIDADE

Nenhuma tecnologia é perfeita, por isso a Vantico acredita que trabalhar com pesquisadores de segurança qualificados em todo o mundo é crucial para identificar pontos fracos em qualquer tecnologia. Se você acredita ter encontrado um problema de segurança em nosso produto ou serviço, recomendamos que você nos notifique. Vamos trabalhar com você para resolver o problema imediatamente.

 

O programa Bug Bounty é estendido a pesquisadores externos que aceitam os termos e condições deste programa.

2. POLÍTICA DE PRIVACIDADE

Sem o consentimento por escrito da Vantico, os pesquisadores estão proibidos de divulgar vulnerabilidades descobertas, informações sobre vulnerabilidades descobertas e compartilhar qualquer informação sobre o trabalho relacionado à busca de vulnerabilidades nas aplicações e serviços da Vantico.

 

A Vantico se reserva o direito de recusar solicitações de divulgação pública de vulnerabilidades encontradas nos serviços da Vantico.

3. ESCOPO PARA PESQUISADORES

Os testes são autorizados apenas nos alvos listados no escopo. Qualquer domínio/ propriedade da Vantico não listado nessa seção, está explicitamente, fora do escopo. Isso inclui qualquer/ todos os subdomínios não listados.

 

O escopo para encontrar vulnerabilidades é:
*.vantico.com.br

 

Quaisquer solicitações que não se enquadrem neste escopo não serão consideradas.

4. RESTRIÇÕES

O programa Bug Bounty é limitado apenas a vulnerabilidades técnicas e lógicas que podem estar contidas nos aplicativos e serviços da Vantico.

 

Certas vulnerabilidades são consideradas fora do escopo de nosso Programa de Divulgação Responsável:

  • Testes Físicos
  • Engenharia social (por exemplo, tentativas de roubar cookies, páginas de login falsas para coletar credenciais)
  • Phishing
  • Ataques de negação de serviço
  • Ataques de exaustão de recursos
  • Mensagens de erro descritivas (por exemplo, Stack Traces, erros de aplicativo ou servidor)
  • Códigos / páginas HTTP 404 ou outros códigos / páginas HTTP diferentes de 200
  • Divulgação de banners em serviços comuns / públicos
  • Divulgação de arquivos ou diretórios públicos conhecidos (por exemplo, robots.txt)
  • Clickjacking e problemas que só podem ser explorados por meio de clickjacking
  • CSRF em formulários que estão disponíveis para usuários anônimos (por exemplo, o formulário de contato)
  • Logout Cross-Site Request Forgery (logout CSRF)
  • Presença da funcionalidade de ‘preenchimento automático’ ou ‘salvar senha’ do navegador da web ou aplicativo
  • Falta de sinalizadores de cookie seguro e HTTPOnly
  • Falta de Speedbump de Segurança ao sair do site
  • Desvio de Captcha / Captcha fraco
  • Enumeração de nome de usuário via mensagem de erro da página de login
  • Enumeração de nome de usuário via mensagem de erro “Esqueci minha senha”
  • Força bruta da página Login ou Esqueci a Senha e bloqueio de conta não aplicados
  • Método OPTIONS / TRACE HTTP ativado
  • Ataques SSL como BEAST, BREACH, ataque de renegociação
  • Conjuntos de criptografia SSL Insecure
  • O cabeçalho Anti-MIME-Sniffing
  • X-Content-Type-Options
  • Cabeçalhos de segurança HTTP ausentes
  • Complexidade da senha;
  • Não possui confirmação de e-mail;
  • Uso de ferramentas automatizadas que podem gerar tráfego significativo e possivelmente prejudicar o funcionamento de nossa aplicação.
  • Subresource Integrity (SRI) não implementada.
  • Cabeçalho HSTS ausente.
  • Bugs divulgados publicamente em software de internet no prazo de 7 dias após sua divulgação.

5. REGRAS E CONDIÇÕES

Ao procurar por vulnerabilidades em serviços da Vantico, deve-se seguir as regras:

  • Para realizar testes internos na aplicação (gray box) por gentileza, solicite um usuário no e-mail [email protected];
  • Quaisquer tentativas de acessar credenciais de usuários das aplicações e serviços da Vantico são proibidas;
  • Ao procurar vulnerabilidades, é proibido violar as condições de integridade, disponibilidade e confidencialidade das aplicações e serviços da Vantico;
  • É proibida qualquer atividade que possa prejudicar os aplicativos, infraestrutura, clientes e parceiros da empresa;
  • Observação – exemplos de atividades proibidas: engenharia social, phishing, ataques de negação de serviço;
  • Para confirmar a presença de vulnerabilidades deve ser utilizado um conjunto minimamente adequado de verificações. As verificações não devem afetar outros usuários ou o desempenho e os serviços da Vantico;
Observação – se esta condição não for atendida, a busca de vulnerabilidades é estritamente proibida.

6. DETERMINANDO A CRITICIDADE DA VULNERABILIDADE

O nível de gravidade das vulnerabilidades encontradas é determinado pela equipe de segurança da Vantico.
Depois de receber o relatório dos pesquisadores, a equipe de segurança da Vantico realiza suas próprias verificações e determina o nível de gravidade da vulnerabilidade encontrada.

 

Ao determinar o nível de criticidade, os seguintes fatores também são levados em consideração:

  • O nível de privilégios necessários para implementar o ataque;
  • Dificuldade na detecção e operação;
  • A presença de um requisito para interação com o usuário;
  • Impacto na integridade, disponibilidade e confidencialidade dos dados afetados;
  • Impacto nos riscos de negócios e riscos de reputação;
  • O número de usuários afetados.

7. REQUISITOS DO RELATÓRIO

Um relatório deve descrever uma vulnerabilidade. As exceções são os casos em que as vulnerabilidades estão vinculadas ou podem ser combinadas em uma cadeia.

 

O relatório de vulnerabilidade deve conter as seguintes informações:

  • Descrição da vulnerabilidade (pontuação, impacto, criticidade etc.);
  • Vetor de ataque;
  • Etapas de reprodução;
  • Análise de criticidade;
  • Recomendações para eliminação;
  • Tipo de vulnerabilidade;
  • Capturas de tela ou vídeo confirmando a disponibilidade da vulnerabilidade e demonstrando as etapas de reprodução;
  • Um exemplo de uma consulta formatada.

8. TEMPO PARA CONSIDERAÇÃO DO RELATÓRIO

Uma vez a vulnerabilidade informada, a Vantico se compromete com um retorno em até 2 (dois) dias úteis sobre o recebimento do reporte, mantendo-o informado da tratativa da(s) vulnerabilidade(s) em avaliação.

9. RECOMPENSAS

Por enquanto somos uma startup e não temos condições de remunerar pelas falhas encontradas, mas ficaremos felizes em enviar alguns brindes e citar você em nosso hall da fama.

10. CONTATO

Para realizar testes internos na aplicação (gray box) por gentileza, solicite um usuário no e-mail [email protected], agradecemos seu apoio no nosso processo de melhoria contínua.

 

As informações sobre as vulnerabilidades encontradas devem ser enviadas através deste link (https://app.vantico.com.br/vdp/f20d7297-27de-11ed-9a42-02645c62f86f).

 

11. RESPALDO LEGAL

Quaisquer atividades conduzidas de forma consistente com esta política serão consideradas conduta autorizada e não iniciaremos ações legais contra você. Se uma ação legal for iniciada por um terceiro contra você em conexão com as atividades conduzidas sob esta política, tomaremos medidas para tornar conhecido que suas ações foram conduzidas em conformidade com esta política.

 

Obrigado por ajudar a manter a Vantico e nossos clientes seguros!