Topo da página
Ir para o conteúdo
Cadastre-seFazer login
Cadastre-seFazer login

Política de Divulgação Responsável

Atenção: esta tradução da versão original em inglês é fornecida apenas para fins de conveniência e informação. No caso de qualquer disputa ou controvérsia, somente a versão deste documento em inglês que prevalecerá e vigorará.

O Programa de Recompensas de 'Bugs' da Ledn está atualmente em modo privado com o HackerOne. Se você quiser ser incluído, entre em contato com alicia@hackerone.com. Se você não quiser usar o HackerOne, todos os relatórios enviados diretamente a Ledn devem ser criptografados usando PGP: 443B976BCBCDB3DB9F2D18828A690EE848D0CB3D.

  1. Introdução

    Estamos comprometidos em manter a segurança de nossos sistemas e proteger as informações sensíveis contra a divulgação não autorizada. Sempre que possível, nos esforçamos para ir além e acima dos padrões da indústria, para inovar e estabelecer novos padrões de segurança para acompanhar o mundo em constante evolução das ameaças cibernéticas.

    Esta política descreve quais sistemas estão no escopo, os tipos permitidos de testes e varreduras de segurança, como nos enviar relatórios de vulnerabilidade e quanto tempo pedimos aos pesquisadores de segurança que esperem antes de revelar publicamente as vulnerabilidades.

  2. Requisitos

    Se você fizer um esforço de boa fé para seguir esta política durante sua pesquisa de segurança, nós consideraremos sua pesquisa autorizada, útil e nenhuma ação legal será tomada contra você. Esperamos trabalhar com você para compreender e resolver rapidamente qualquer problema identificado.

    • Para obedecer a esta política, você não deve:

      • testar qualquer sistema que não seja os sistemas definidos na seção 'Escopo',

      • divulgar informações sobre vulnerabilidade, exceto conforme estabelecido na seção "Denunciando uma vulnerabilidade",

      • se envolver em testes físicos das instalações ou recursos,

      • engajar-se em engenharia social,

      • enviar quaisquer e-mails não solicitados a nossos usuários, incluindo mensagens de "phishing",

      • executar ou tentar executar qualquer ataque de "Negação de Serviço" ou "Exaustão de Recursos".

      • introduzir software malicioso,

      • testar de uma maneira que possa degradar a operação de nossos sistemas; ou intencionalmente prejudicar, perturbar ou desativar nossos sistemas,

      • testar aplicações, websites ou serviços de terceiros que se integrem com ou de nossos sistemas,

      • apagar, alterar, compartilhar, reter ou destruir nossos dados, ou tornar os dados inacessíveis, ou,

      • usar um exploit para exfiltrar dados, estabelecer acesso à linha de comando, estabelecer uma presença persistente em nossos sistemas, ou "pivot" para outros sistemas Ledn.

    • Você reconhece e concorda que deve fazê-lo:

      • cessar os testes a pedido da Ledn,
      • cessar os testes e nos notificar imediatamente após a descoberta de uma vulnerabilidade,
      • cessar os testes e nos notificar imediatamente após a descoberta de uma exposição de dados não-públicos,
      • visualizar e armazenar dados não públicos somente na medida necessária para documentar a presença de uma potencial vulnerabilidade,
      • purgar quaisquer dados não públicos armazenados após relatar uma vulnerabilidade.

  3. Escopo

    • Os seguintes sistemas/serviços estão no escopo:

      • ledn.io
      • plataforma.ledn.io

    Quaisquer serviços não explicitamente listados acima estão excluídos do escopo. Além disso, as vulnerabilidades encontradas nos sistemas Ledn de nossos fornecedores estão fora do escopo desta política e devem ser relatadas diretamente ao fornecedor de acordo com sua política de divulgação (se houver).

    • Os seguintes sistemas/serviços estão fora do escopo:

      • AWS Cognito assuntos relacionados
      • https://ledn-resources.s3.amazonaws.com/ (os “buckets S3” públicos não são considerados vulneráveis quando usados para servir bens estáticos, que são de natureza pública)

  4. Relatar uma vulnerabilidade

    Os relatórios de divulgação podem ser enviados por e-mail para security@ledn.io.

    Os relatórios devem fornecer um resumo técnico detalhado da vulnerabilidade, prova de conceito quando aplicável, assim como quaisquer ferramentas ou explorações necessárias para reproduzir a vulnerabilidade. Seu relatório pode incluir arquivos não-executáveis, de preferência em formato comprimido.

    Os relatórios podem ser apresentados anonimamente, ou com informações de contato com métodos de comunicação preferidos, se abertos a serem contatados por nós para perguntas de acompanhamento sobre a divulgação. Os pesquisadores garantem que os materiais incluídos como parte da divulgação não violam nenhuma lei de propriedade intelectual e dão à Ledn licença mundial não exclusiva, livre de royalties, para usar, reproduzir, criar trabalhos derivados e publicar informações incluídas no relatório de forma perpétua.

  5. Divulgação

    Nas circunstâncias em que não somos capazes de abordar adequadamente uma revelação de vulnerabilidade em tempo hábil, solicitamos que você se abstenha de revelar publicamente qualquer informação que possa permitir aos atacantes tirar vantagem da vulnerabilidade por pelo menos 180 dias a partir da data de nosso recebimento da revelação da vulnerabilidade. Se você acredita que a divulgação deve ser feita antes da expiração desse período, entre em contato conosco para coordenarmos com antecedência.

    As informações de contato (se fornecidas) pelos pesquisadores de segurança não serão compartilhadas com nenhuma instituição de terceiros e poderão ser removidas mediante solicitação.

  6. Prêmios

    Agradecemos sua ajuda e assistência. Para demonstrar nossa gratidão, fornecemos recompensas financeiras por relatórios de vulnerabilidade que cumprem esta política. Todos os valores de recompensa ficarão a critério de nossa equipe de segurança. Qualquer violação desta política tornará você inelegível para uma recompensa.

  7. Perguntas

    Se você tiver alguma dúvida ou preocupação com relação a esta política, métodos de teste específicos que você está considerando empregar ou o que pode ou não ser considerado no ‘Escopo' favor contatar security@ledn.io. Encorajamos fortemente os pesquisadores de segurança a se comunicarem conosco, pois estamos comprometidos em abordar as questões de segurança e privacidade de forma adequada e oportuna.

    Última Atualização: 7/16/2021