Política de Divulgações de Vulnerabilidades
Introdução
Esta Política de Divulgação de Vulnerabilidades (VDP) se aplica a qualquer vulnerabilidade que você considerar relatar ao Worksection. Por favor, leia esta VDP completamente antes de relatar uma vulnerabilidade e sempre aja em conformidade com ela.
Agradecemos muito aqueles que dedicam seu tempo e esforços para divulgar de forma responsável vulnerabilidades de segurança em conformidade com esta política. Valorizamos os pesquisadores que nos ajudam em nossos esforços de segurança e estendemos nossa gratidão antecipadamente pela sua submissão e discrição.
Seu teste não deve violar nenhuma lei nem interromper ou comprometer dados que não sejam seus. Se você encontrar uma vulnerabilidade potencial que permita acesso a dados ou recursos restritos, deve nos notificar imediatamente — não continue investigando a vulnerabilidade por conta própria.
Âmbito
Esta política se aplica ao seguinte domínio: https://worksection.com/
Orientação
Embora incentivemos fortemente a descoberta e relato responsável de vulnerabilidades, certas ações são estritamente proibidas. Por favor, evite envolver-se nas seguintes atividades:
- Realizar ações que possam ter um impacto negativo na Empresa ou em seus usuários, como spamming, conduzir ataques de força bruta ou lançar ataques de negação de serviço. Da mesma forma, evite qualquer teste que possa prejudicar o acesso ao sistema ou causar danos aos dados.
- Acessar ou tentar acessar quaisquer dados ou informações que não pertencem a você. É importante respeitar os limites do acesso autorizado.
- Destruir, corromper ou tentar destruir ou corromper quaisquer dados ou informações que não pertencem a você. Proteja a integridade e a confidencialidade dos dados.
- Utilizar ferramentas de escaneamento invasivas ou destrutivas de alta intensidade com o propósito de identificar vulnerabilidades. Tais ferramentas não devem ser empregadas, pois podem causar perturbações indevidas.
- Participar de testes físicos, incluindo tentativa de acesso a escritórios, explorando portas abertas ou seguindo alguém. Técnicas de engenharia social, como phishing ou vishing, também são proibidas. Concentre-se exclusivamente em testes de vulnerabilidade técnica.
- Conduzir atividades de engenharia social direcionadas a membros da equipe da Empresa, contratados ou usuários. Respeite a privacidade e a confiança dos indivíduos associados à nossa organização.
- Violar quaisquer leis ou infringir acordos enquanto busca descobrir vulnerabilidades. Adira aos limites legais e éticos durante todo o processo.
Ao aderir a estas diretrizes, você garante que suas atividades de descoberta de vulnerabilidades sejam realizadas de maneira responsável e legal.
Exclusões do escopo
As seguintes descobertas são especificamente não recompensáveis dentro deste programa:
- Divulgação de arquivos ou diretórios públicos conhecidos (por exemplo, robots.txt)
- Clickjacking e certas questões que só podem ser exploradas por clickjacking
- Logout Cross-Site Request Forgery (logout CSRF)
- Captcha fraco
- Falta de flags de cookie Seguro e HTTPOnly
- Registro SPF/DKIM mal configurado ou ausente
- Falta de melhores práticas de SSL/TLS
- Vulnerabilidades DDoS
- Faltando cabeçalhos de segurança HTTP, por exemplo: Strict-Transport-Security, X‑Frame-Options, X‑XSS-Protection, X‑Content-Type-Options, Content-Security-Policy, X‑Content-Security-Policy, X‑WebKit-CSP, Content-Security-Policy-Report-Only
- Versões de software desatualizadas
- Vulnerabilidades que afetam usuários de navegadores ou plataformas desatualizados
- Atividades de engenharia social, phishing, físicas ou outras fraudulentas
- Auto-XSS que não pode ser usado para explorar outros usuários
- Vulnerabilidades em componentes de terceiros
- Erros que exigem interação do usuário extremamente improvável
- Problemas de spoofing de conteúdo e injeção de texto sem um vetor de ataque real e/ou sem poder modificar o HTML
- Tomada de subdomínio sem uma prova de conceito
- Domínio squatting ou qualquer outra especulação de domínio
- Vulnerabilidades que requerem acesso físico ao dispositivo de um usuário
- Relatórios de vulnerabilidade gerados por scanners ou quaisquer ferramentas automáticas ou de exploração ativa
- Vulnerabilidades envolvendo conteúdo ativo, como complementos de navegador
- Negação de serviço (DoS/DDoS) e spamming (SMS, e‑mail, etc.)
- A maioria dos problemas de força bruta sem um impacto claro
- Painéis de login acessíveis publicamente sem prova de exploração
- Divulgação de informações de usuários públicas, bem como informações não sensíveis e moderadamente sensíveis
Relatando uma vulnerabilidade
Se você descobriu uma potencial vulnerabilidade de segurança em nossa plataforma, solicitamos gentilmente que você a relate diretamente à equipe de segurança da Empresa por e‑mail em security@worksection.ua. Isso garante que seu relatório chegue até nós prontamente, permitindo que possamos responder de forma mais eficaz. Por favor, evite enviar o relatório para nosso endereço de email geral ou através do chat de suporte.
Para manter a confidencialidade da vulnerabilidade, pedimos que você evite abrir uma questão pública ou discuti-la em plataformas de redes sociais como Twitter ou GitHub. Agradecemos sua cooperação em manter a comunicação sobre a vulnerabilidade confidencial entre você e nossa equipe. Por favor, evite compartilhar seus relatórios ou qualquer evidência com outros usuários ou empresas.
Ao submeter um relatório de vulnerabilidade, por favor, assegure-se de que ele inclui as seguintes informações essenciais:
- Título claro e relevante. Forneça um título conciso e descritivo que reflita com precisão a natureza da vulnerabilidade.
- Serviço/API afetado. Indique claramente o serviço ou API específico que está afetado pela vulnerabilidade. Isso nos ajuda a entender rapidamente o escopo do problema.
- Detalhes e impacto da vulnerabilidade. Explique minuciosamente a vulnerabilidade, incluindo seus detalhes técnicos e potencial impacto em nossos sistemas ou usuários. Forneça informações suficientes para nos ajudar a entender a natureza e a gravidade da vulnerabilidade.
- Passos para reproduzir / Prova de Conceito. Inclua instruções detalhadas sobre como reproduzir a vulnerabilidade, de preferência acompanhadas por uma Prova de Conceito (PoC). A PoC pode estar em várias formas, como uma demonstração em vídeo, capturas de tela de ferramentas como Burp Suite, comandos curl ou trechos de código relevantes. Esses materiais nos ajudam a verificar e entender melhor a vulnerabilidade.
- Quaisquer outros detalhes importantes. Sinta-se à vontade para incluir quaisquer informações adicionais que você acredita serem relevantes ou úteis para nosso entendimento da vulnerabilidade. Isso pode incluir configurações de sistema, logs relevantes ou qualquer documentação de suporte que possa ajudar no processo de resolução.
Ao fornecer um relatório abrangente que inclui esses elementos, você nos auxilia enormemente na avaliação e resolução eficiente da vulnerabilidade relatada.
O que acontece após relatar uma vulnerabilidade
Após você ter enviado seu relatório, nós o analisaremos em termos de impacto, severidade e complexidade de exploração. Se considerarmos relevante, responderemos a você dentro de quinze (15) dias úteis. Manteremos você informado sobre nosso progresso.
Uma vez que a vulnerabilidade relatada seja remediada, nós o notificaremos, e você poderá ser convidado a confirmar que a solução cobre adequadamente a vulnerabilidade. Agradecemos solicitações para divulgar seu relatório uma vez que sua vulnerabilidade tenha sido resolvida. No entanto, pedimos que você evite compartilhar informações sobre quaisquer vulnerabilidades descobertas por 90 dias corridos após receber nossa confimação de recebimento do seu relatório.
Recompensas
Normalmente, não oferecemos recompensas em dinheiro por submissões. No entanto, podemos fazer uma exceção no caso de bugs críticos válidos e relatórios de alta qualidade. O valor da recompensa será determinado com base no impacto máximo da vulnerabilidade. Relatórios bem escritos e considerados úteis têm uma maior chance de serem considerados para uma recompensa.
Por favor, observe que apenas a primeira pessoa a relatar uma falha previamente desconhecida se qualifica para uma recompensa.