Ανακαλύψατε ένα κενό ασφαλείας;

Ενημερώστε μας

Ανακαλύφθηκαν κενά ασφαλείας σε websites της ESET

Η συνεργασία μας με το HackTrophy μας βοηθά να αντιμετωπίζουμε έγκαιρα πιθανές απειλές. Ενημερώστε μας για τυχόν προβλήματα ασφαλείας στους ιστότοπούς μας και διεκδικήστε ανταμοιβή.

Ανακαλύφθηκαν κενά ασφαλείας σε προϊόντα της ESET ή άλλα websites

Εάν πιστεύετε ότι έχετε ανακαλύψει κάποιο κενό ασφαλείας σε οποιοδήποτε προϊόν της ESET ή web application, ενημερώστε μας εμπιστευτικά.

Εάν πιστεύετε ότι έχετε ανακαλύψει κάποιο κενό ασφαλείας σε οποιοδήποτε προϊόν της ESET ή web application, ενημερώστε μας εμπιστευτικά.

Πριν από την υποβολή της αναφοράς, διαβάστε την ενότητα "Πολιτική αναφορών και εκτός πεδίου εφαρμογής".

Παρακαλούμε λάβετε υπόψη ότι δεν θα εκκινήσουμε διαδικασίες έρευνας νομικής φύσεως ή οποιαδήποτε αγωγή εναντίον σας σε ό,τι αφορά το περιεχόμενο της αναφοράς.

Ευαίσθητες και προσωπικές πληροφορίες

Μην επιχειρήσετε ποτέ να αποκτήσετε πρόσβαση σε προσωπικές πληροφορίες ή ευαίσθητα δεδομένα. Εάν λάβετε ευαίσθητες ή προσωπικές πληροφορίες κατά τη διάρκεια της έρευνας ασφαλείας, ακολουθήστε τα εξής βήματα:

- ΔΙΑΚΟΨΤΕ αμέσως την έρευνα ή τις ενέργειες που περιλαμβάνουν δεδομένα ή προσωπικά στοιχεία

- ΜΗ αποθηκεύετε, αντιγράφετε, αποκαλύπτετε, μεταφέρετε ή κάνετε οποιαδήποτε δραστηριότητα που σχετίζεται με δεδομένα ή προσωπικές πληροφορίες

- ΕΙΔΟΠΟΙΗΣΤΕ άμεσα και στηρίξτε μας στην προσπάθεια μείωσης των επιπτώσεων

Τρωτά σημεία εκτός πεδίου εφαρμογής

Εφαρμογές Web

  • Περιγραφικά μηνύματα σφάλματος (e.g. Stack Traces, σφάλματα εφαρμογών ή server).
  • Σελίδες HTTP 404 ή άλλα σφάλματα μη HTTP 200.
  • Δακτυλικά αποτυπώματα / banner σε κοινές / δημόσιες υπηρεσίες.
  • Γνωστοποίηση δημόσιων αρχείων ή καταλόγων, (π.χ. robots.txt).
  • Clickjacking και προβλήματα που σχετίζονται μέσω του clickjacking.
  • CSRF ή φόρμες που είναι διαθέσιμες σε ανώνυμους χρήστες (π.χ. η φόρμα επικοινωνίας).
  • Logout Cross-Site Request Forgery (logout CSRF).
  • Παρουσία λειτουργίας "αυτόματης συμπλήρωσης" ή "αποθήκευσης κωδικού" σε εφαρμογή ή web browser.
  • Έλλειψη ασφαλούς/μόνο HTTP ή μη ευαίσθητα Cookies.
  • Έλλειψη Security Speedbump κατά την απομάκρυνση από το site.
  • Ασθενές Captcha / Captcha Bypass
  • Δεν εφαρμόζεται σελίδα Forgot Password και κλείδωμα λογαριασμού.
  • Ενεργοποιημένη μέθοδος OPTIONS HTTP
  • Απαρίθμηση Username / email
    —  μέσω μηνύματος σφάλματος στη Login Page
    —  μέσω μηνύματος σφάλματος Forgot Password
  • Απώντα HTTP security headers, ειδικά (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), π.χ..
    — Strict-Transport-Security
    — X-Frame-Options
    — X-XSS-Protection
    — X-Content-Type-Options
    — Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    — Content-Security-Policy-Report-Only
  • Ζητήματα SSL, π.χ.
    — Επιθέσεις SSL όπως BEAST, BREACH, και επίθεση Renegotiation
    — Μη ενεργοποιημένη μυστική προώθηση SSL
    — SSL αδύναμες / ανασφαλείς σουίτες κρυπτογράφησης
  • Αποκάλυψη banner σε κοινές/δημόσιες υπηρεσίες
  • Self-XSS και ζητήματα που μπορούν να εκμεταλλευτούν μόνο μέσω Self-XSS
  • Ευρήματα που προέρχονται κυρίως από την κοινωνική μηχανική (e.g. phishing, vishing, smishing)

Ευπάθειες προϊόντων

  • dll injection στους εγκαταστάτες της ESET
  • Όχι SSL στους servers αναβάθμισης/λήψης 
  • Tapjacking

Κατηγορίες ευπαθειών που μας ενδιαφέρουν ιδιαίτερα


Αντιμετωπίζουμε όλες τις αναφορές με υψηλή προτεραιότητα και εξετάζουμε όλα τα συμβάντα μαζί με αυτόν που τα επισήμανε όσο το δυνατόν πιο γρήγορα.
Παρακαλούμε όταν υποβάλετε μια αναφορά, κάντε το στην αγγλική γλώσσα μέσω του security@eset.com συμπεριλαμβάνοντας τις παρακάτω πληροφορίες:

  • Στόχος - ο ESET server όπως υποδεικνύεται από τη διεύθυνση IP, το hostname, το URL και το προϊόν της ESET συμπεριλαμβανομένης της έκδοσης (δείτε το σχετικό άρθρο μας στη Γνωσιακή Βάση για το πώς να εντοπίζετε τον αριθμό έκδοσης)
  • Είδος συμβάντος - το είδος της ευπάθειας (π.χ., σύμφωνα με το OWASP, όπως cross-site scripting, buffer overflow, SQL injection κ.λπ.), καθώς και μια σχετική περιγραφή της ευπάθειας.

Απόδειξη και/ή ένα URL που να παρουσιάζει το κενό ασφαλείας - μία παρουσίαση του κενού ασφαλείας που να δείχνει πως ακριβώς λειτουργεί. Σχετικά παραδείγματα μπορεί να περιλαμβάνουν:

  • Ένα URL που περιλαμβάνει δεδομένα - π.χ. τα XSS των παραμέτρων αίτησης του GET
  • Έναν σύνδεσμό για γενικό έλεγχο - π.χ. ευπάθειες του SSL
  • Video -  χρήσιμο γενικά (εάν ανεβάσετε υλικό σε μια υπηρεσία streaming, παρακαλούμε κάντε το ιδιωτικό)
  • Αρχείο καταγραφής - από το εργαλείο ESET SysInspector (δείτε πώς να δημιουργήσετε ένα αρχείο καταγραφής μέσω του ESET SysInspector log) ή του Microsoft Problem Steps Recorder (δείτε πώς να χρησιμοποιήσετε τον Problem Steps Recorder), εάν είναι δυνατόν
  • Παρακαλούμε, δώστε μας όσο το δυνατόν πιο λεπτομερή περιγραφή μπορείτε, ή στείλτε μας έναν συνδυασμό των παραπάνω επιλογών. 

Με χαρά θα ακούσουμε τις δικές σας προτάσεις σχετικά με το πώς μπορεί να διορθωθεί το κενό ασφαλείας που ανακαλύψατε.

Για να κρυπτογραφήσετε την ηλεκτρονική επικοινωνία μαζί μας, παρακαλούμε χρησιμοποιήστε το δημόσιο PGP κλειδί μας:

Η ESET πιστεύει ότι όποιος μπαίνει στον κόπο να ανακαλύψει και να ενημερώσει σχετικά με κενά ασφαλείας θα πρέπει να λαμβάνει και την αντίστοιχη δημόσια αναγνώριση και το εφαρμόζει στην πράξη, εφόσον φυσικά, ο υπεύθυνος δεν επιθυμεί να παραμείνει ανώνυμος.

ΕΥΧΑΡΙΣΤΟΥΜΕ.