Relato de Vulnerabilidade de Segurança

Divulgação responsável

Temos o compromisso de proteger as informações dos nossos clientes.  Se você acredita que identificou uma vulnerabilidade de segurança, agradeceremos pela sua ajuda em divulgá-la de maneira responsável, notificando-nos por e-mail em security@goanimate.com.

Segurança é algo muito importante para nós e investigaremos e responderemos a todos os relatos de vulnerabilidade.  Nosso foco de interesse está em vulnerabilidades associadas à goanimate.com e goanimate4schools.com.

Por favor, observe os seguintes pontos:

  •       Por favor, descreva a(s) falha(s) com detalhes suficientes e informe as ramificações da exploração.
  •       Por favor, inclua provas de conceito, se aplicável, tais como snippets de códigos, URLs de solicitação e carga útil de ataque, capturas de tela, arquivos de rastreamento de pacotes ou capturas em vídeo que demonstrem a exploração. Se cabível, liste materiais de referência em sites externos, caso possam ajudar-nos a entender melhor a natureza do problema.
  •       Por favor, evite relatar vários tipos de vulnerabilidade no mesmo e-mail, visto que isso pode impedir que agreguemos relatórios de vulnerabilidades similares e obstruir a identificação rápida e oportuna das vulnerabilidades críticas. Se você possui múltiplas vulnerabilidades para relatar, por favor, envie-nos um e-mail para cada tipo de vulnerabilidade.
  •       Por favor, não realize testes que possam afetar nossos clientes ou acarretar a degradação do serviço, tais como ataques de negação de serviço, engenharia social e spam.
  •       Você não tem autorização para realizar testes de penetração a nível de host.
  •       Você não pode coletar informações associadas a uma conta que não seja sua. Caso tenha se deparado acidentalmente com essas informações, você deve nos relatar essa vulnerabilidade e eliminar todas as cópias dos dados de terceiros armazenadas localmente.
  •       Por favor, mantenha seus achados em segredo até que tenhamos confirmado e remediado os problemas.
  •       Poderemos contatá-lo(a) para solicitar informações adicionais, caso o seu relatório não contenha informações suficientes para que possamos compreender o contexto dos problemas sendo relatados.
  •       Entraremos em contato você no prazo de 1 dia útil ou em até 1 a 3 semanas, dependendo da gravidade do problema e da qualidade do seu relatório. Por favor, não nos bombardeie com consultas de verificação de status.
  •       Divulgações qualificadas podem torná-lo(a) elegível ao nosso hall da fama, conforme descrito abaixo.

 

Hall da Fama

Caso uma vulnerabilidade grave seja descoberta, agradeceremos pela sua contribuição e reconheceremos seus esforços em nosso hall da fama, sujeito ao estabelecido a seguir:

  •       Caso recebamos múltiplos relatórios para a mesma vulnerabilidade, apenas o primeiro relatório útil será reconhecido.
  •       A GoAnimate se reserva o direito de escolher o “primeiro relatório útil” ao avaliar fatores que incluem, mas não se limitam ao horário de recebimento e plenitude do envio. O princípio orientador da utilidade é o grau de aproveitamento do envio para nos ajudar a identificar e remediar uma vulnerabilidade qualificada específica.
  •       Ao nos enviar uma vulnerabilidade, você concorda que a decisão de oferecer ou não o reconhecimento fica a exclusivo critério da GoAnimate.
  •       Similarmente, a GoAnimate se reserva o direito de rejeitar qualquer relatório de vulnerabilidade a nosso exclusivo critério.
  •       Reconhecimentos são listados atualmente na página de divulgação de segurança. A GoAnimate se reserva o direito de realocar o conteúdo para outro URL, conforme for necessário no futuro devido à reestruturação do site ou por qualquer outro motivo.
  •       Nenhuma compensação monetária será oferecida.
  •       Por favor, observe que vulnerabilidades de furto de cliques (clickjacking) e CSRF (falsificação de solicitação entre sites) são analisadas apenas para sites e páginas onde a facilidade de exploração e o risco para a goanimate.com e goanimate4schools.com sejam significativos.

O Programa de Divulgação de Segurança está sujeito a alterações ou cancelamento pela GoAnimate, a qualquer momento, sem aviso. Desta forma, a GoAnimate poderá alterar esses termos a qualquer momento, publicando uma versão revisada em nosso site.

O anexo a seguir lista exemplos de vulnerabilidades que são elegíveis e inelegíveis, respectivamente, para consideração de sua inclusão no hall da fama. As listas não são exaustivas.

 

Exemplos de vulnerabilidades qualificadas

  •       Desvio de autenticação
  •       Scripting entre sites
  •       Execução de código do lado do servidor
  •       Injeção de SQL
  •       Escalação de privilégio
  •       Exposição de informações sigilosas

 

Exemplos de vulnerabilidades não qualificadas

  •       Negação de serviço
  •       Engenharia social
  •       Scripts de conteúdo misto
  •       Cookies inseguros
  •       Vulnerabilidades que exijam que a vítima em potencial instale software não padrão ou que, de outra forma, siga ativamente etapas para se tornar suscetível
  •       Vulnerabilidades específicas de navegadores desatualizados
  •       Divulgação de banner de servidor web

 

Gostaríamos de agradecer às pessoas a seguir por relatarem com responsabilidade vulnerabilidades para nós. Obrigado!

 

Tem mais dúvidas? Submeter um pedido
Seguir