Обнаружили уязвимость в системе безопасности?

Расскажите нам об этом

Уязвимости, найденные на перечисленных веб-сайтах ESET

Сотрудничество с Hacktrophy помогает нам избежать любых потенциальных угроз. Сообщать о любых уязвимостях в системе безопасности наших веб-сайтов. Одобренные отчеты по перечисленным ниже сайтам получают финансовое вознаграждение.

Глобальный веб-сайт ESET*

www.eset.com
buy.eset.com

ESET PROTECT Cloud

protect.eset.com

ESET Business Account

eba.eset.com
identity.eset.com

ESET Cloud Office Security

ecos.eset.com

 

* Глобальный веб-сайт ESET включает поддомены go.eset.com, cookie.eset.com, search.eset.com, captcha.eset.com, и api.eset.com

Уязвимости, обнаруженные в продуктах ESET или на веб-сайтах ESET

Если вы считаете, что нашли уязвимость в каком-либо продукте ESET или веб-приложении, которая не входит в сферу действия Hacktrophy, пожалуйста, конфиденциально сообщите нам об этом по адресу security@eset.com.

Если вы считаете, что нашли уязвимость в каком-либо продукте ESET или веб-приложении, пожалуйста, конфиденциально сообщите нам об этом.

Перед отправкой отчета, пожалуйста, ознакомьтесь с разделом "Политика отчетов" и "За пределами области применения". Автоматический ответ будет отправлен, когда отчет будет успешно обработан нашей системой и ожидает рассмотрения специалистом по безопасности. В течение трех рабочих дней специалист по безопасности отправит сообщение журналисту по адресу security@eset.com. Наша цель - предоставить исправления для подтвержденных уязвимостей в течение 90 календарных дней с момента раскрытия информации. Сообщения о подтвержденных и исправленных уязвимостях вознаграждаются.
При оценке уязвимости используйте последнюю версию CVSS -
мы определим приоритетность нашего ответа на основе этой оценки CVSS или строки вектора.
В качестве CNA для соответствующих уязвимостей в наших продуктах ESET автоматически зарезервирует идентификатор CVE.

Обратите внимание, что мы не будем инициировать расследование правоохранительных органов или какой-либо судебный процесс против вас в связи с содержанием отчета.

Чувствительная и личная информация

Никогда не пытайтесь получить доступ к конфиденциальным или личным данным. Если вы получили конфиденциальную или личную информацию во время исследования безопасности, выполните следующие действия:

- НЕМЕДЛЕННО прекратите свои исследования или действия, связанные с конфиденциальной или личной информацией

- НЕ сохраняйте, не копируйте, не раскрывайте, не передавайте и не совершайте никаких действий, связанных с конфиденциальной или личной информацией

- НЕМЕДЛЕННО предупредите нас и поддержите нас в усилиях по устранению уязвимостей

Уязвимости за пределами области применения

Веб-приложения

  • Отчеты от автоматизированных инструментов или сканирования
  • Атаки на отказ в обслуживании
  • Атаки типа "человек посередине"
  • Атаки, требующие физического доступа к устройству
  • Гипотетические проблемы, не имеющие практического воздействия
  • Общедоступные панели входа в систему без доказательств эксплуатации
  • Находки, полученные в основном с помощью социальной инженерии (например, фишинг, вишинг, смс -фишинг) и других нетехнических атак
  • Проблемы информативного или низкого уровня серьезности
  • Рассылка спама
  • Кликджекинг и проблемы, которые вызывает только кликджекинг
  • Раскрытие отпечатков пальцев/информации рекламного баннера для обычных/общественных услуг
  • Проблемы конфигурации почты (настройки SPF, DKIM, DMARC)
  • Описательные сообщения об ошибках (например, трассировка стека, ошибки приложения или сервера)
  • HTTP 404 коды/страницы или другие HTTP не-200 коды/страницы
  • Раскрытие известных общедоступных или нечувствительных файлов или каталогов (например, robots.txt, crossdomain.xml и любые другие файлы политики, наличие или неправильная настройка в них подстановочных знаков)
  • Включен нестандартный метод HTTP
  • Отсутствие заголовков безопасности, таких как Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options
  • Отсутствие флагов Secure, HTTP Only и SameSite на нечувствительных файлах cookie
  • Открытый редирект, который не может быть использован для утечки конфиденциальной информации, такой как куки сессии, токены OAuth
  • Проблемы управления несколькими одновременными активными сессиями
  • Атаки инъекции в заголовок хоста
  • Self-XSS и проблемы, эксплуатируемые только через Self-XS
  • CSRF в формах, доступных анонимным пользователям (например, контактная форма)
  • CSRF при выходе из системы
  • Наличие функции "автозаполнения" или "сохранения пароля" в приложении или веб-браузере
  • Отсутствие защиты от атак грубой силы на странице "Забыли пароль" и политики блокировки учетных записей
  • Имя пользователя или список адресов электронной почты без дополнительных эффектов
  • Проблемы ограничения частоты
  • Слабая задача CAPTCHA/обход задачи CAPTCHA
  • Использование известной уязвимой библиотеки без описания эксплойта, специфичного для нашей реализации
  • Проблемы SSL (например, слабый/небезопасный набор шифров, BEAST, BREACH, атаки с перезаключением)

Уязвимости продукта

  • Проблемы, которые можно решить путем добавления сигнатуры обнаружения
  • Инъекция DLL
  • Перехват DLL
  • Отсутствие SSL в серверах обновления/загрузки
  • Обход локального антивирусного механизма
  • Кража сенситивной информации
  • Известные уязвимости в компонентах сторонних производителей
  • Атаки, которые возможны только с правами администратора, будут оцениваться в каждом конкретном случае

Политика отчетности

  • Свяжитесь с нами по адресу security@eset.com
  • Отчеты и все сопутствующие материалы шифруются с помощью открытого ключа PGP
  • Укажите свою организацию и контактное имя
  • Напишите четкое описание потенциальной уязвимости
  • Включить всю необходимую информацию для подтверждения потенциальной уязвимости
  • Укажите версию продукта и модуля (см. KB о поиске версий продуктов и модулей ) для отчетов, связанных с продуктом
  • Отчеты, связанные с продуктом, должны включать файл журнала ESET SysInspector, если таковой имеется
  • Доказательство концепции – пожалуйста, предоставьте как можно более подробное описание, включая скриншоты и видео (которые при загрузке на потоковые сервисы помечаются как приватные)
  • Рекомендации по смягчению последствий будут высоко оценены
  • Укажите, какое влияние, по вашему мнению, потенциальная уязвимость оказывает на пользователей, сотрудников ESET или других лиц
  • Мы просим автора сообщения сохранять конфиденциальность любых сообщений об уязвимости
  • Информировать о любых планах по раскрытию информации и координировать их с нами
  • Сообщение должно быть написано на английском языке

Обратите внимание, что отчет может быть отклонен, если:

  • Он соответствует критериям из раздела "За рамками"
  • Не соответствует нашей политике в отношении отчетов
  • Oн дублируется, рассматривается только оригинальный отчет от первого репортера

Докладчик будет уведомлен о любом обновлении в процессе исправления и/или смягчения последствий.

Компания ESET является сторонником скоординированного процесса раскрытия информации об уязвимостях и публично отмечает авторов сообщений об уязвимостях безопасности за их усилия, если они не хотят быть анонимными.

СПАСИБО.