Descobriu uma vulnerabilidade de segurança?

Fale connosco

Vulnerabilidades encontradas em Produtos ou Sites da ESET

Se acredita ter encontrado uma vulnerabilidade em qualquer produto ou aplicação web da ESET, informe-nos confidencialmente através do endereço security@eset.com.

Fale connosco
Antes de submeter o relatório, leia por favor a secção Política de Relatório e Fora do Âmbito de Aplicação. Uma resposta automática é enviada quando o relatório é processado com sucesso pelo nosso sistema e aguarda a análise de um especialista em segurança. Dentro de três dias úteis, um especialista em segurança enviará feedback ao repórter via security@eset.com. O nosso objetivo é fornecer uma correção para vulnerabilidades confirmadas dentro de 90 dias corridos após a divulgação. Relatos de vulnerabilidades confirmadas e corrigidas são recompensados ​​com rewarded with goodie bag.
Ao avaliar a vulnerabilidade, use a versão mais recente do CVSS - priorizaremos a nossa resposta com base na pontuação CVSS ou sequência de vetores.
Como um CNA para vulnerabilidades aplicáveis ​​nos nossos produtos, a ESET reservará um CVE ID automaticamente.

Tenha em atenção que não iniciaremos qualquer investigação policial ou processo judicial contra si pelo conteúdo da denúncia.

Informação sensível e pessoal

Nunca tentar aceder a informações pessoais ou dados sensíveis. Se obtiver informações sensíveis ou pessoais durante a sua investigação de segurança, siga estes passos:

- PARE imediatamente as suas pesquisas ou ações que incluam dados ou informações pessoais

- NÃO guardar, copiar, divulgar, transferir ou fazer qualquer atividade relacionada com dados ou informações pessoais

- ALERTE-NOS imediatamente e ajude-nos a minimizar a situação

Vulnerabilidades fora do âmbito de atuação

Aplicações Web

  • Relatórios de ferramentas automatizadas
  • Ataques de Recusa de Serviço (Denial of Service)
  • O indivíduo no meio dos ataques
  • Ataques que requerem acesso físico ao dispositivo do utilizador
  • Questões hipotéticas que não têm qualquer impacto prático
  • Painéis de login acessíveis ao público sem prova de utilização
  • Descobertas derivadas principalmente de técnicas sociais (ex. phishing, vishing, smishing) & outros ataques não técnicos
  • Questões de severidade informativa e baixa gravidade
  • Spamming
  • Clickjacking e edições apenas exploráveis através de clickjacking
  • Impressão digital / divulgação de banners em serviços comuns/públicos
  • Questões de configuração de correio (SPF, DKIM, definições DMARC)
  • Mensagens de erro descritivas (por exemplo, Stack Traces, erros de aplicação ou de servidor)
  • Códigos/páginas HTTP 404 ou outros códigos/páginas HTTP não-200.
  • Divulgação de ficheiros ou diretórios públicos ou não sensíveis conhecidos, (por exemplo robots.txt,crossdomain.xml ou quaisquer outros ficheiros de políticas, presença de wildcard/mis configuração nos mesmos)
  • Método HTTP não-padrão ativado
  • Cabeçalhos de segurança em falta (tais como Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
  • Falta de Secure/HTTP Only/SameSite em Cookies não sensíveis.
  • Reencaminhamento aberto que não pode ser utilizado para exfiltrar informação sensível (cookies de sessão, fichas OAuth)
  • Questões de gestão com múltiplas sessões ativas 
  • Host-header injection Attacks
  • Auto-XSS e questões exploráveis apenas através do Auto-XS
  • CSRF em formulários que estão disponíveis para utilizadores anónimos (por exemplo, o formulário de contacto).
  • CSRF em logout
  • Presença da funcionalidade 'autocompletar' ou 'guardar palavra-passe' da aplicação ou navegador web.
  • Esqueceu-se da página da palavra-passe e o bloqueio da conta não foi aplicado.
  • Nome de utilizador / enumeração de e-mail sem qualquer outro impacto
  • Questões de limitação de taxas
  • Fraco Captcha / Captcha Bypass
  • Utilização de uma biblioteca conhecida-vulnerável sem descrição de uma exploração específica para a nossa implementação
  • Questões SSL (exemplo: cifra fraca/não segura, BEAST, BREACH, ataque de renegociação, etc.)

Vulnerabilidades de produto

  • Problemas que podem ser resolvidos adicionando uma assinatura de deteção
  • Injeção de DLL
  • Sequestro de DLL
  • Ausência de SSL em servidores de atualização/download
  • Contorno do mecanismo antivírus local
  • Tapjacking
  • Vulnerabilidades conhecidas em componentes de terceiros
  • Ataques apenas possíveis com privilégios de administrador serão avaliados caso a caso

Política de Relatório

  • Contacte-nos via security@eset.com
  • Todos os relatórios e materiais relacionados são encriptados por chave pública PGP
  • Inclua a sua organização e nome de contacto 
  • Escrever uma descrição clara da potencial vulnerabilidade
  • Acrescentar toda a informação necessária para validar a potencial vulnerabilidade
  • Incluir o produto ESET e a versão do módulo (veja produto KB e módulo KB para determinar o número da versão) em relatórios relacionados com o produto ESET SysInspector, se aplicável
  • Prova de Conceito  – por favor forneça a descrição mais detalhada possível, incluindo capturas de ecrã ou vídeo (marcado como privado quando carregado em serviços de streaming)
  • As sugestões de resolução são muito valorizadas
  • Incluir o impacto da potencial vulnerabilidade que se espera ter sobre os utilizadores, funcionários da ESET ou outros.
  • Solicitamos ao funcionário que mantenha confidencial qualquer comunicação relativa à vulnerabilidade 
  • Informar sobre quaisquer planos de divulgação e coordenar connosco
  • Deve ser escrito em inglês

Por favor, note que o relatório pode ser rejeitado quando:

  • Quando corresponder à sessão “Fora de Âmbito”
  • Não segue a nossa Política de Relatório
  • Seja duplicado, apenas o relatório original do primeiro autor a denunciar é tido em conta

O autor será notificado sobre qualquer atualização em processo de reparação/resolução

A ESET acredita fortemente no processo de divulgação responsável e reconhece publicamente os denunciantes de vulnerabilidade de segurança pelos seus esforços se não quiserem permanecer anónimos.

OBRIGADO.