Descobriu uma vulnerabilidade de segurança?

Fale connosco

Vulnerabilidades descobertas em sites listados pela ESET

A nossa parceria com a HackTrophy ajuda-nos a mantermo-nos na dianteira de ameaças potenciais. Conte-nos sobre quaisquer questões de segurança e receba uma recompensa.

Vulnerabilidades descobertas em produtos ESET ou outros sites

Acredita ter descoberto uma vulnerabilidade num produto ou aplicação web da ESSE? Entre em contacto connosco de forma confidencial.

Acredita ter descoberto uma vulnerabilidade num produto ou aplicação web da ESSE? Entre em contacto connosco de forma confidencial.

Acredita ter descoberto uma vulnerabilidade num produto ou aplicação web da ESSE? Entre em contacto connosco de forma confidencial.

A ESET não vai dar início a qualquer investigação ou processo judicial contra si pelo conteúdo do relatório.

Informação sensível e pessoal

Nunca tente aceder a informação pessoal ou sensível. Se conseguir aceder a este tipo de dados, siga os seguintes passos:

- PARE a pesquisa imediatemente

- NÃO guarde, copie, revele ou transfira quaisquer dados com informações pessoais

- ALERTE-NOS de imediato e ajude-nos a mitigar as possíveis consequências

Vulnerabilidades out of scope

Aplicações Web

  • Reports from automated tools or scans
  • Denial of Service Attacks
  • Man in the middle attacks
  • Attacks requiring physical Access to user's device
  • Hypothetical issues that do not have any practical impact
  • Publicly accessible login panels without proof of exploitation
  • Findings derived primarily from social engineering (e.g. phishing, vishing, smishing) & other non-technical attacks
  • Informative severity & low severity issues
  • Spamming
  • Clickjacking and issues only exploitable through clickjacking.
  • Fingerprinting / banner disclosure on common/public services.
  • Mail configuration issues (SPF, DKIM, DMARC settings)
  • Descriptive error messages (e.g. Stack Traces, application or server errors)
  • HTTP 404 codes/pages or other HTTP non-200 codes/pages.
  • Disclosure of known public or non-sensitive files or directories, (e.g. robots.txt,crossdomain.xml or any other policy files, wildcard presence/misconfiguration in these).
  • Nonstandard HTTP method enabled
  • Missing Security headers (such as Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
  • Lack of Secure/HTTP Only/SameSite flags on non-sensitive Cookies.
  • Open redirect that cannot be used to exfiltrate sensitive information (session cookies, OAuth tokens)
  • Management issues with multiple concurrent active sessions
  • Host-header injection Attacks
  • Self-XSS and issues exploitable only through Self-XS
  • CSRF on forms that are available to anonymous users (e.g. the contact form).
  • CSRF on logout
  • Presence of application or web browser ‘autocomplete’ or ‘save password’ functionality.
  • Forgot Password page brute force and account lockout not enforced.
  • Username / email enumeration without any further impact
  • Rate-limiting issues
  • Weak Captcha / Captcha Bypass
  • Use of a known-vulnerable library without a description of an exploit specific to our implementation
  • SSL Issues (example: weak/insecure cipher, BEAST, BREACH, Renegotiation attack, etc.)

Vulnerabilidades de produto

  • dll injection in ESET installers
  • No SSL in update/download servers 
  • Tapjacking

Política de reports

  • Contacte-nos via security@eset.com
  • Os reports e todos os restantes materiais são encriptados por um chave pública PGP
  • Inclua o nome da sua empresa e o seu contacto
  • Escreva claramente o potencial da vulnerabilidade
  • Acrescente toda a informação necessária para validar a potencial vulnerabilidade
  • Inclua a versão do modulo e o produto ESET (veja KB product e KB module para determinar este número) nos reports relacionados com o produto
  • Os reports relacionados com produtos devem conter um ficheiro log do ESET SysInspector, caso aplicável
  • Prova de conceito – disponibilize por favor uma descrição pormenorizada, incluindo screenshots ou vídeo (marcados como privados quando carregados em serviços stream)
  • Agradecemos que nos faculte sugestões para mitigar as ameaças
  • Inclua quais as potenciais consequências que pode ter nos utilizadores, nos colaboradores ESET e noutras pessoas.
  • Planos para a divulgação, se existentes
  • Deve estar escrito em inglês

Note por favor que os reports da seção “Out of Scope” ou que não sigma as nossas políticas poderão ser rejeitados.

A ESET acredita no processo cuidado de divulgação de ameaças e dá crédito publicamente a quem as descobre pelo seu esforço, caso estas pessoas não queiram permanecer anónimas.

OBRIGADO.