Descobriu uma vulnerabilidade de segurança?

Conte-nos!

Vulnerabilidades encontradas nos Websites indicados pela ESET

A nossa parceria com a HackTrophy ajuda-nos a mantermo-nos na dianteira de ameaças potenciais. Conte-nos sobre quaisquer questões de segurança e receba uma recompensa.

Vulnerabilidades encontradas nos Produtos ESET ou Websites da ESET

Se acredita ter encontrado uma vulnerabilidade em qualquer produto ou aplicação web da ESET que não esteja definida no âmbito do HackTrophy, por favor informe-nos confidencialmente via security@eset.com.

Se acredita ter encontrado uma vulnerabilidade em qualquer produto ou aplicação web da ESET que não esteja definida no âmbito do HackTrophy, por favor informe-nos confidencialmente via security@eset.com.

Antes de submeter o relatório, leia por favor a secção Política de Relatório e Fora do Âmbito de Aplicação. Cada relatório recebe a primeira atualização em três dias úteis (8x5 CET) via security@eset.com. A resposta automática é enviada quando o relatório é criado com sucesso no sistema e fica a aguardar o feedback do especialista em segurança. O objetivo é fornecer a correção da vulnerabilidade confirmada em 90 dias. Os relatórios confirmados e corrigidos são recompensados com rewarded with goodie bag.

Por favor, note que não iniciaremos uma investigação policial ou qualquer processo contra si pelo conteúdo do relatório.

Informação sensível e pessoal

Nunca tentar aceder a informações pessoais ou dados sensíveis. Se obtiver informações sensíveis ou pessoais durante a sua investigação de segurança, siga estes passos:

- PARE imediatamente as suas pesquisas ou ações que incluam dados ou informações pessoais

- NÃO guardar, copiar, divulgar, transferir ou fazer qualquer atividade relacionada com dados ou informações pessoais

- ALERTE-NOS imediatamente e ajude-nos a minimizar a situação

Vulnerabilidades fora do âmbito de atuação

Aplicações Web

  • Relatórios de ferramentas automatizadas
  • Ataques de Recusa de Serviço
  • O indivíduo no meio dos ataques
  • Ataques que requerem acesso físico ao dispositivo do utilizador
  • Questões hipotéticas que não têm qualquer impacto prático
  • Painéis de login acessíveis ao público sem prova de utilização
  • Descobertas derivadas principalmente de técnicas sociais (ex. phishing, vishing, smishing) & outros ataques não técnicos
  • Questões de severidade informativa e baixa gravidade
  • Spamming
  • Clickjacking e edições apenas exploráveis através de clickjacking
  • Impressão digital / divulgação de banners em serviços comuns/públicos
  • Questões de configuração de correio (SPF, DKIM, definições DMARC)
  • Mensagens de erro descritivas (por exemplo, Stack Traces, erros de aplicação ou de servidor)
  • Códigos/páginas HTTP 404 ou outros códigos/páginas HTTP não-200.
  • Divulgação de ficheiros ou diretórios públicos ou não sensíveis conhecidos, (por exemplo robots.txt,crossdomain.xml ou quaisquer outros ficheiros de políticas, presença de wildcard/mis configuração nos mesmos)
  • Método HTTP não-padrão ativado
  • Cabeçalhos de segurança em falta (tais como Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
  • Falta de Secure/HTTP Only/SameSite em Cookies não sensíveis.
  • Reencaminhamento aberto que não pode ser utilizado para exfiltrar informação sensível (cookies de sessão, fichas OAuth)
  • Questões de gestão com múltiplas sessões ativas 
  • Host-header injection Attacks
  • Auto-XSS e questões exploráveis apenas através do Auto-XS
  • CSRF em formulários que estão disponíveis para utilizadores anónimos (por exemplo, o formulário de contacto).
  • CSRF em logout
  • Presença da funcionalidade 'autocompletar' ou 'guardar palavra-passe' da aplicação ou navegador web.
  • Esqueceu-se da página da palavra-passe e o bloqueio da conta não foi aplicado.
  • Nome de utilizador / enumeração de e-mail sem qualquer outro impacto
  • Questões de limitação de taxas
  • Fraco Captcha / Captcha Bypass
  • Utilização de uma biblioteca conhecida-vulnerável sem descrição de uma exploração específica para a nossa implementação
  • Questões SSL (exemplo: cifra fraca/não segura, BEAST, BREACH, ataque de renegociação, etc.)

Vulnerabilidades de produto

  • Questões que podem ser abrangidas acrescentando a assinatura de deteção
  • Introdução de DLL
  • DLL Hijacking
  • Sem SSL nos servidores de atualização/download
  • Desvios do motor AV local
  • Tapjacking
  • Vulnerabilidades conhecidas em componentes de terceiros
  • Ataques possíveis apenas com privilégios de administrador serão avaliados caso a caso

Política de Relatório

  • Contacte-nos via security@eset.com
  • Todos os relatórios e materiais relacionados são encriptados por chave pública PGP
  • Inclua a sua organização e nome de contacto 
  • Escrever uma descrição clara da potencial vulnerabilidade
  • Acrescentar toda a informação necessária para validar a potencial vulnerabilidade
  • Incluir o produto ESET e a versão do módulo (ver produto KB e módulo KB para determinar o número da versão) em relatórios relacionados com o produto ESET SysInspector, se aplicável
  • Prova de Conceito  – por favor forneça a descrição mais detalhada possível, incluindo capturas de ecrã ou vídeo (marcado como privado quando carregado em serviços de streaming)
  • As sugestões de resolução são muito valorizadas
  • Incluir o impacto da potencial vulnerabilidade que se espera ter sobre os utilizadores, funcionários da ESET ou outros.
  • Solicitamos ao funcionário que mantenha confidencial qualquer comunicação relativa à vulnerabilidade 
  • Informar sobre quaisquer planos de divulgação e coordenar connosco
  • Deve ser escrito em inglês

Por favor, note que o relatório pode ser rejeitado quando:

  • Quando corresponder à sessão “Fora de Âmbito”
  • Não segue a nossa Política de Relatório
  • Seja duplicado, apenas o relatório original do primeiro autor a denunciar é tido em conta

O autor será notificado sobre qualquer atualização em processo de reparação/resolução

A ESET acredita fortemente no processo de divulgação responsável e reconhece publicamente os denunciantes de vulnerabilidade de segurança pelos seus esforços se não quiserem permanecer anónimos.

OBRIGADO.