Aptikote saugumo spragą?

Praneškite apie tai mums

Pažeidžiamumų ieškokite išvardintose ESET svetainėse

Bendradarbiavimas su „Hacktrophy“ padeda mums išvengti galimų grėsmių. Praneškite apie bet kokias saugumo problemas mūsų svetainėse. Už surastas ir patvirtintas spragas toliau išvardintuose puslapiuose mokamas piniginis atlygis.

* ESET pasaulinis tinklalapis apima subdomenus go.eset.com, cookie.eset.com, search.eset.com, captcha.eset.com, ir api.eset.com

ESET produktuose arba ESET svetainėse aptikti pažeidžiamumai

Jei manote, kad radote pažeidžiamumą bet kuriame ESET produkte ar žiniatinklio programoje, kuris nėra apibrėžtas Hacktrophy veikimo srityje, konfidencialiai informuokite mus apie tai el. paštu security@eset.com.

Jei manote, kad radote pažeidžiamumą bet kuriame ESET produkte ar žiniatinklio programoje, informuokite mus apie tai.

Prieš pateikdami ataskaitą, susipažinkite su Pranešimų teikimo politika ir skyriumi Ne pagal veikimo sritį. Kai ataskaita sėkmingai apdorojama mūsų sistemoje ir laukia saugumo specialisto peržiūros, išsiunčiamas automatinis atsakymas. Per tris darbo dienas saugumo specialistas atsiųs pranešėjui atsiliepimą iš šio pašto adreso security@eset.com. Mūsų tikslas - ištaisyti patvirtintas spragas per 90 kalendorinių dienų nuo jų atskleidimo. Už pranešimus apie patvirtintus ištaisytus pažeidžiamumus apdovanojame dovanomis.
Vertindami pažeidžiamumą naudokite naujausią CVSS versiją -
pagal šį CVSS balą arba vektoriaus eilutę nustatysime atsakymo teikimo pirmumą.
ESET būdama CNA (CVE Numbering Authority - CNA) dėl taikomų mūsų produktų pažeidžiamumų, ESET automatiškai rezervuos CVE ID.

Atkreipkite dėmesį, kad dėl pranešimo turinio neinicijuosime teisėsaugos institucijų tyrimo ar teismo proceso prieš jus.

Jautri ir asmeninė informacija

Niekada nebandykite pasiekti jautrių asmeninių duomenų. Jei atlikdami saugumo tyrimus gaunate jautrios ar asmeninės informacijos, atlikite šiuos veiksmus:

- nedelsdami SUSTABDYKITE tyrimus ar veiksmus, susijusius su konfidencialia informacija

- NEGALIMA išsaugoti, kopijuoti, atskleisti, perduoti ar atlikti bet kokią veiklą, susijusią su konfidencialia asmenine informacija

- nedelsdami PRANEŠKITE mums ir padėkite sušvelninti padarinius

Į veikimo sritį nepatenkantys pažeidžiamumai

Internetinės programėlės

  • Automatinių įrankių arba nuskaitymo ataskaitos.
  • Paslaugų trikdymo atakos (angl. DoS).
  • MITM atakos (angl. man in the middle).
  • Atakos, kurioms reikia fizinės prieigos prie įrenginio.
  • Hipotetiniai aspektai, neturintys jokio praktinio poveikio.
  • Viešai prieinami prisijungimo skydeliai be galimybės įrodyti pažeidžiamumą.
  • Pažeidžiamumų išvados, gautos dėl socialinės inžinerijos (pvz., sukčiavimo el. paštu, SMS žinutėmis, telefono skambučiais), bei kitų netechninių atakų.
  • Informacinio reikšmingumo ir nedidelio reikšmingumo klaidos.
  • Šlamšto siuntimas (angl. spamming).
  • Paspaudimų perėmimas (angl. clickjacking) ir problemos, kuriomis galima pasinaudoti tik per paspaudimų perėmimą.
  • Paskirstytos skenavimo atakos (angl. Fingerprinting) ir (arba) banerių rodymas bendrose ir (arba) viešosiose paslaugose.
  • Pašto konfigūracijos problemos (SPF, DKIM, DMARC nustatymai).
  • Aprašomieji pranešimai apie klaidas (angl. stack traces), taikomosios programos ar serverio klaidos.
  • HTTP 404 kodai / puslapiai arba kiti HTTP ne-200 kodai / puslapiai.
  • Žinomų viešų arba neskelbtinų failų ar katalogų atskleidimas. Pvz., robots.txt, crossdomain.xml ir bet kokie kiti politikos failai, pakaitinių simbolių (angl. wildcard) buvimas juose arba netinkama konfigūracija.
  • Įjungtas nestandartinis HTTP metodas.
  • Trūksta tokių saugumo antraščių kaip Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options.
  • Saugumo, „HTTP Only“ ir „SameSite“ žymų nebuvimas nesaugiuose slapukuose.
  • Atviras nukreipimas (angl. open redirect), kurio negalima naudoti neskelbtinai informacijai, pvz., sesijos slapukams, „OAuth“ žetonams, išvilioti.
  • Valdymo problemos, kai vienu metu veikia kelios aktyvios sesijos.
  • „Host-header injection“ atakos.
  • „Self-XSS“ ir problemos, kuriomis galima pasinaudoti tik naudojant „Self-XS“.
  • CSRF anoniminiams naudotojams prieinamose formose (pvz., kontaktų formoje).
  • CSRF atsijungimo metu.
  • Taikomosios programos arba žiniatinklio naršyklės „automatinio užbaigimo“ (angl. autocomplete) arba „slaptažodžio išsaugojimo“ (angl. save password) funkcijos buvimas.
  • Neįgyvendinama apsauga nuo grubios jėgos atakų (angl. brute force) ir paskyros blokavimo politika.
  • Vartotojo vardo arba el. pašto išvardijimas/sąrašas be jokio papildomo poveikio.
  • Greitaveikos ribojimo problemos.
  • Silpna „Captcha“ arba „Captcha“ apėjimas.
  • Žinomos pažeidžiamos bibliotekos naudojimas, nepateikus mūsų įgyvendinimui būdingo išnaudojimo aprašymo.
  • SSL problemos (pvz., silpnas / nesaugus šifras, BEAST, BREACH, renegotiation atakos).

Produkto pažeidžiamumai

  • Problemos, kurias galima išspręsti pridėjus virusų duomenų bazės aprašą.
  • DLL injekcija (angl. DLL injection).
  • DLL užgrobimas (angl. DLL hijacking).
  • Atnaujinimo / atsisiuntimo serveriuose nėra SSL.
  • Lokalus AV variklis apeinamas.
  • Tapjacking ataka.
  • Žinomi trečiųjų šalių komponentų pažeidžiamumai.
  • Atakos, įmanomos tik su administratoriaus teisėmis (bus vertinamos kiekvienu atveju atskirai).

Ataskaitų teikimo politika

  • Susisiekite su mumis el. paštu security@eset.com.
  • Ataskaitos ir visa susijusi medžiaga turi būti užšifruojama PGP viešuoju raktu.
  • Nurodykite savo organizaciją ir kontaktinį vardą.
  • Parašykite aiškų aprašymą galimo pažeidžiamumo.
  • Pridėkite visą visą informaciją, reikalingą galimam pažeidžiamumui patvirtinti.
  • Įtraukite ESET produkto ir modulio versiją (žr. KB apie produkto ir modulio versijų paiešką) su produktu susijusioms ataskaitoms.
  • Su produktu susijusiose ataskaitose turėtų būti pateiktas žurnalo failas iš ESET SysInspector, jei taikoma.
  • Koncepcijos įrodymas – pateikite kuo išsamesnį aprašymą, įskaitant ekrano nuotraukas ir vaizdo įrašą (įkeliant į failų/video perdavimo paslaugas pažymėkite kaip privatus).
  • Labai vertiname pasiūlymus kaip būtų galima išspręsti problemą.
  • Įtraukite poveikį, kurį, jūsų manymu, galimas pažeidžiamumas daro naudotojams, ESET darbuotojams ar kitiems asmenims.
  • Prašome pranešėjo laikyti konfidencialia bet kokią su pažeidžiamumu susijusią informaciją.
  • Informuokite apie bet kokius atskleidimo planus ir suderinkite juos su mumis.
  • Informacija turi būti parašyta anglų kalba.

Atkreipkite dėmesį, kad ataskaita gali būti atmesta, kai:

  • Jis atitinka skyriaus „Nepatenkantys į taikymo sritį“ kriterijus.
  • Jame nesilaikoma mūsų ataskaitų teikimo politikos.
  • Ji dubliuojama ar pasikartoja, laikomas tik pirminis pirmojo pranešėjo pranešimas.

Pranešėjui bus pranešta apie visus atnaujinimus, kurie bus taisomi ir (arba) sprendžiami.

ESET tvirtai tiki koordinuotu pažeidžiamumų atskleidimo procesu ir viešai įvertina saugumo pažeidžiamumų pranešėjų pastangas, jei jie nenori likti anonimais.

DĖKOJAME.