Programas de divulgação de vulnerabilidades e recompensa por bugs
Comprometidos em manter os mais altos padrões de segurança
Operamos um Programa de Divulgação de Vulnerabilidades (VDP) e programas de recompensa por bugs para incentivar a comunicação responsável de vulnerabilidades de segurança.Esses programas são projetados para promover uma abordagem colaborativa à segurança, garantindo que os dados e a privacidade de nossos usuários sejam protegidos.
- Vulnerability Disclosure Program (VDP): Este programa é aberto ao público e permite que pesquisadores de segurança relatem vulnerabilidades que descobrirem em nossos sistemas e aplicativos. Agradecemos seus esforços em nos ajudar a melhorar nossa postura de segurança. Observe que nenhuma recompensa é oferecida.
- Programa privado de recompensa por bugs: Além do nosso VDP, executamos um programa privado de recompensa por bugs onde pesquisadores selecionados são convidados a testar nossos ativos e são recompensados por relatórios de vulnerabilidade válidos. Este programa é apenas por convite.
Porto seguro legal
Consideramos as atividades que aderem a este programa como autorizadas e não buscaremos ações legais contra você por divulgar vulnerabilidades de forma responsável. Se um terceiro iniciar uma ação legal contra você, e desde que você tenha cumprido este programa, tomaremos as medidas apropriadas para informar às autoridades relevantes que suas ações foram conduzidas de acordo com nossas diretrizes.
Escopo do Programa de Divulgação de Vulnerabilidades
As vulnerabilidades que afetam os produtos que são mantidos de acordo com nosso Ciclo de Vida do Produto serão investigadas e trabalhadas por nossa equipe. Além dos produtos, os seguintes domínios também estão presentes neste escopo:
- *.clearance.network
- *.clearid.io
- *.genetec.cloud
- *.genetec.com
- login.genetec.com
- *.genetec.one
- *.geneteccloud.com
- *.q2c.eu
- *.autovu.com
- *.curbsense.com
- *.autovu.cloud
- *.ops.center
Quais vulnerabilidades você pode relatar no Programa de Divulgação de Vulnerabilidades?
Qualificando vulnerabilidades
- Falhas de autenticação
- Evasão de nossos modelos de permissão de plataforma/privacidade
- Elevação de privilégios
- Script entre sites (XSS)
- Falsificação de solicitação entre sites (CSRF/XSRF)
- Execução remota de código
- SQL Injeção
- Inclusão de arquivo local
- Referência de objeto direto insegura
- Falsificação de solicitação no lado do servidor
Vulnerabilidades fora do escopo
- Vulnerabilidades que dependem de engenharia social (isso inclui ataques de phishing contra Genetec funcionários)
- Ataques de negação de serviço (DOS)
- Tentativas físicas contra Genetec propriedade ou data centers
- Ataque que assume o controle administrativo de uma máquina de serviço
- Falta de práticas recomendadas sem impacto de segurança demonstrável (ou seja, cabeçalhos de HTTP ausentes, configuração de SSL/TLS etc.)
- Cookies inseguros para cookies não sensíveis ou cookies de terceiros
- Envio de XSS cego por e-mail ou spam Genetec funcionários
- Pacotes de terceiros vulneráveis sem prova de conceito (ex.: jQuery)
- Registro CAA de DNS ausente