Ανακαλύψατε ένα κενό ασφαλείας;

Ενημερώστε μας

Ανακαλύφθηκαν κενά ασφαλείας σε websites της ESET

Η συνεργασία μας με το Hacktrophy μάς βοηθά να αντιμετωπίζουμε πάντα έγκαιρα οποιεσδήποτε πιθανές απειλές. Ενημερώστε μας για τυχόν ζητήματα ασφαλείας στους ιστότοπούς μας. Οι επιβεβαιωμένες αναφορές σε ιστοσελίδες που αναφέρονται παρακάτω επιβραβεύονται με χρηματικές ανταμοιβές

* Ο παγκόσμιος ιστότοπος της ESET περιλαμβάνει τις πρόσθετες υπηρεσίες go.eset.com, search.eset.com, cookie.eset.com, captcha.eset.com, και api.eset.com

Κενά ασφαλείας που εντοπίστηκαν στα προϊόντα ή στους ιστότοπους της ESET

Εάν πιστεύετε ότι έχετε ανακαλύψει ένα κενό ασφαλείας σε οποιοδήποτε προϊόν της ESET ή εφαρμογή web που δεν ορίζεται στο πεδίο εφαρμογής του Hacktrophy, ενημερώστε μας εμπιστευτικά μέσω του security@eset.com.

Εάν πιστεύετε ότι έχετε ανακαλύψει ένα κενό ασφαλείας σε οποιοδήποτε προϊόν της ESET ή εφαρμογή web, ενημερώστε μας εμπιστευτικά.

Πριν υποβάλετε μια αναφορά, διαβάστε την ενότητα Πολιτική Αναφορών και Εκτός Πεδίου Εφαρμογής. Όταν υποβάλλεται κάποια αναφορά, τα συστήματά μας αποστέλλουν μια αυτόματη απάντηση σε αυτόν που την υπέβαλε. Η αναφορά αναμένει έλεγχο από έναν ειδικό ασφαλείας. Εντός τριών εργάσιμων ημερών, ένας ειδικός ασφαλείας θα στείλει τα σχόλιά του αγορά μέσω του security@eset.com. Στόχος μας είναι να παρέχουμε μια επιδιόρθωση για επιβεβαιωμένα τρωτά σημεία εντός 90 ημερολογιακών ημερών από την δημοσιοποίηση. Όσοι έχουν υποβάλει επιβεβαιωμένες και διορθωμένες αναφορές τρωτών σημείων, αμείβονται με διάφορα δώρα.
Κατά την αξιολόγηση της ευπάθειας, χρησιμοποιήστε την πιο πρόσφατη έκδοση του CVSS - θα δώσουμε προτεραιότητα στην απάντησή μας με βάση αυτή τη βαθμολογία CVSS ή τη διανυσματική συμβολοσειρά.
Ως CNA για τα ισχύοντα κενά ασφαλείας στα προϊόντα μας, η ESET θα δεσμεύσει αυτόματα ένα CVE ID.

Παρακαλούμε λάβετε υπόψη ότι δεν θα εκκινήσουμε διαδικασίες έρευνας νομικής φύσεως ή οποιαδήποτε αγωγή εναντίον σας σε ό,τι αφορά το περιεχόμενο της αναφοράς.

Ευαίσθητες και προσωπικές πληροφορίες

Μην επιχειρήσετε ποτέ να αποκτήσετε πρόσβαση σε ευαίσθητα ή προσωπικά δεδομένα. Εάν λάβετε ευαίσθητες ή προσωπικές πληροφορίες κατά τη διάρκεια της έρευνας ασφάλειας, ακολουθήστε αυτά τα βήματα:

- ΣΤΑΜΑΤΗΣΤΕ αμέσως την έρευνα ή τις ενέργειές σας που αφορούν ευαίσθητες ή προσωπικές πληροφορίες

- ΜΗΝ  αποθηκεύετε, αντιγράφετε, αποκαλύπτετε, μεταφέρετε ή κάνετε οποιαδήποτε ενέργεια που σχετίζεται με τις ευαίσθητες ή προσωπικές πληροφορίες

- ΕΙΔΟΠΟΙΗΣΤΕ άμεσα και στηρίξτε μας στην προσπάθεια μείωσης των επιπτώσεων

Τρωτά σημεία εκτός πεδίου εφαρμογής

Web applications

  • Αναφορές από αυτοματοποιημένα εργαλεία ή σαρώσεις
  • Επιθέσεις άρνησης υπηρεσίας
  • Επιθέσεις "man in the middle"
  • Επιθέσεις που απαιτούν φυσική πρόσβαση στη συσκευή του χρήστη
  • Υποθετικά θέματα που δεν έχουν κανένα πρακτικό αντίκτυπο
  • Δημόσια πεδία σύνδεσης χωρίς απόδειξη εκμετάλλευσης
  • Ευρήματα που προέρχονται κυρίως από κοινωνική μηχανική (π.χ. phishing, vishing, smishing) και άλλες μη τεχνικές επιθέσεις
  • Ενημερωτικά ζητήματα σοβαρότητας & χαμηλής σοβαρότητας
  • Spamming
  • Clickjacking και ζητήματα εκμεταλλεύσιμα μόνο μέσω clickjacking.
  • Δημοσιοποίηση δακτυλικών αποτυπωμάτων / banner σε κοινές/δημόσιες υπηρεσίες.
  • Ζητήματα διαμόρφωσης αλληλογραφίας (SPF, DKIM, ρυθμίσεις DMARC)
  • Περιγραφικά μηνύματα σφάλματος (π.χ. ίχνη στοίβας, σφάλματα εφαρμογής ή διακομιστή)
  • Κωδικοί/σελίδες HTTP 404 ή άλλοι κωδικοί/σελίδες HTTP εκτός 200.
  • Αποκάλυψη γνωστών δημόσιων ή μη ευαίσθητων αρχείων ή καταλόγων, (π.χ. robots.txt,crossdomain.xml ή οποιωνδήποτε άλλων αρχείων πολιτικής, παρουσία χαρακτήρων μπαλαντέρ/λανθασμένη διαμόρφωση σε αυτά).
  • Ενεργοποιήθηκε η μη τυπική μέθοδος HTTP
  • Λείπουν κεφαλίδες ασφαλείας (όπως Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
  • Έλλειψη επισημάνσεων Secure/HTTP Only/SameSite σε μη ευαίσθητα cookies.
  • Ανοιχτή ανακατεύθυνση που δεν μπορεί να χρησιμοποιηθεί για την εξαγωγή ευαίσθητων πληροφοριών (cookies περιόδου λειτουργίας, διακριτικά OAuth)
  • Προβλήματα διαχείρισης με πολλαπλές ταυτόχρονες ενεργές συνεδρίες
  • Επιθέσεις host-header injection
  • Self-XSS και ζητήματα εκμεταλλεύσιμα μόνο μέσω του Self-XS
  • CSRF σε φόρμες που είναι διαθέσιμες σε ανώνυμους χρήστες (π.χ. τη φόρμα επικοινωνίας).
  • CSRF κατά την αποσύνδεση
  • Παρουσία λειτουργίας «αυτόματη συμπλήρωση» ή «αποθήκευση κωδικού πρόσβασης» σε εφαρμογή ή web browser.
  • Επίθεση brute force σε σελίδα απώλειας κωδικού πρόσβασης, χωρίς να επιβληθεί κλείδωμα λογαριασμού.
  • Προσπάθεια εύρεσης όνομα χρήστη / email χωρίς περαιτέρω επιπτώσεις
  • Ζητήματα περιορισμού ποσοστού
  • Αδύναμο Captcha / Παράκαμψη Captcha
  • Χρήση μιας γνωστής ευάλωτης βιβλιοθήκης χωρίς περιγραφή ενός exploit ειδικά για τη δική μας υλοποίηση
  • Ζητήματα SSL (παράδειγμα: αδύναμη/ανασφαλής κρυπτογράφηση, BEAST, BREACH, επίθεση επαναδιαπραγμάτευσης κ.λπ.)

Ευπάθειες προϊόντων

  • Ζητήματα που μπορούν να καλυφθούν με την προσθήκη υπογραφής ανίχνευσης
  • Έγχυση DLL
  • Παραβίαση DLL
  • Χωρίς SSL σε διακομιστές ενημέρωσης/λήψης
  • Παράκαμψη τοπικής μηχανής AV
  • Tapjacking
  • Γνωστά τρωτά σημεία σε στοιχεία τρίτων
  • Attacks only possible with admin privileges will be evaluated case-by-case

Πολιτική αναφοράς

  • Επικοινωνήστε μαζί μας μέσω του security@eset.com
  • Οι αναφορές και όλο το σχετικό υλικό κρυπτογραφούνται με δημόσιο κλειδί PGP
  • Συμπεριλάβετε την εταιρεία και το όνομά σας
  • Γράψτε μια σαφή περιγραφή του πιθανού κενού ασφαλείας
  • Προσθέστε όλες τις πληροφορίες που απαιτούνται για την επικύρωση του πιθανού κενού ασφαλείας
  • Συμπεριλάβετε την έκδοση προϊόντος και μονάδας της ESET (δείτε KB σχετικά με την εύρεση εκδόσεων προϊόντος και μονάδας) για αναφορές που σχετίζονται με το προϊόν
  • Οι αναφορές που σχετίζονται με το προϊόν θα πρέπει να περιέχουν ένα αρχείο καταγραφής από το ESET SysInspector εάν υπάρχει
  • Proof of Concept – παρέχετε όσο το δυνατόν λεπτομερέστερη περιγραφή, συμπεριλαμβανομένων στιγμιότυπων οθόνης ή βίντεο (επισημάνετέ το ως ιδιωτικό όταν το μεταφορτώσετε σε υπηρεσίες ροής)
  • Οι προτάσεις μετριασμού εκτιμώνται ιδιαίτερα
  • Συμπεριλάβετε τον αντίκτυπο που αναμένετε να έχει το πιθανό κενό ασφαλείας στους χρήστες, τους υπαλλήλους της ESET ή άλλους
  • Ζητάμε από αυτόν που υποβάλει την αναφορά να διατηρήσει εμπιστευτική οποιαδήποτε επικοινωνία σχετικά με το κενό ασφαλείας
  • Ενημερώστε για τυχόν σχέδια αποκάλυψης και συντονιστείτε μαζί μας
  • Το κείμενο πρέπει να είναι γραμμένο στην αγγλική γλώσσα

Λάβετε υπόψη ότι η αναφορά μπορεί να απορριφθεί εάν:

  • αντιστοιχεί στα κριτήρια από την ενότητα "Εκτός πεδίου εφαρμογής".
  • δεν ακολουθεί την Πολιτική αναφορών μας
  • Έχει υποβληθεί ξανά, λαμβάνεται υπόψη μόνο η πρώτη αναφορά

Ο υποβάλλων θα ειδοποιείται για οποιαδήποτε ενημέρωση στη διαδικασία επιδιόρθωσης ή/και μετριασμού.

Η ESET πιστεύει ακράδαντα στη συντονισμένη διαδικασία αποκάλυψης τρωτών σημείων και αναγνωρίζει δημόσια για τις προσπάθειές τους όσους έχουν αποστείλει πληροφορίες για κενά ασφαλείας, εάν βεβαίως δεν επιθυμούν να παραμείνουν ανώνυμοι.

ΕΥΧΑΡΙΣΤΟΥΜΕ.