Descobriu uma vulnerabilidade de segurança?

Conte-nos!

Vulnerabilidades encontradas nos Websites indicados pela ESET

A nossa parceria com a HackTrophy ajuda-nos a mantermo-nos na dianteira de ameaças potenciais. Conte-nos sobre quaisquer questões de segurança e receba uma recompensa.

Vulnerabilidades encontradas nos Produtos ESET ou Websites da ESET

Se acredita ter encontrado uma vulnerabilidade em qualquer produto ou aplicação web da ESET que não esteja definida no âmbito do HackTrophy, por favor informe-nos confidencialmente via security@eset.com.

Fale connosco

Antes de submeter o relatório, leia por favor a secção Política de Relatório e Fora do Âmbito de Aplicação. Cada relatório recebe a primeira atualização em três dias úteis (8x5 CET) via security@eset.com. A resposta automática é enviada quando o relatório é criado com sucesso no sistema e fica a aguardar o feedback do especialista em segurança. O objetivo é fornecer a correção da vulnerabilidade confirmada em 90 dias. Os relatórios confirmados e corrigidos são recompensados com rewarded with goodie bag.

Por favor, note que não iniciaremos uma investigação policial ou qualquer processo contra si pelo conteúdo do relatório.

Informação sensível e pessoal

Nunca tentar aceder a informações pessoais ou dados sensíveis. Se obtiver informações sensíveis ou pessoais durante a sua investigação de segurança, siga estes passos:

- PARE imediatamente as suas pesquisas ou ações que incluam dados ou informações pessoais

- NÃO guardar, copiar, divulgar, transferir ou fazer qualquer atividade relacionada com dados ou informações pessoais

- ALERTE-NOS imediatamente e ajude-nos a minimizar a situação

Vulnerabilidades fora do âmbito de atuação

Relatórios de ferramentas automatizadas
Ataques de Recusa de Serviço
O indivíduo no meio dos ataques
Ataques que requerem acesso físico ao dispositivo do utilizador
Questões hipotéticas que não têm qualquer impacto prático
Painéis de login acessíveis ao público sem prova de utilização
Descobertas derivadas principalmente de técnicas sociais (ex. phishing, vishing, smishing) & outros ataques não técnicos
Questões de severidade informativa e baixa gravidade
Spamming
Clickjacking e edições apenas exploráveis através de clickjacking
Impressão digital / divulgação de banners em serviços comuns/públicos
Questões de configuração de correio (SPF, DKIM, definições DMARC)
Mensagens de erro descritivas (por exemplo, Stack Traces, erros de aplicação ou de servidor)
Códigos/páginas HTTP 404 ou outros códigos/páginas HTTP não-200.
Divulgação de ficheiros ou diretórios públicos ou não sensíveis conhecidos, (por exemplo robots.txt,crossdomain.xml ou quaisquer outros ficheiros de políticas, presença de wildcard/mis configuração nos mesmos)
Método HTTP não-padrão ativado
Cabeçalhos de segurança em falta (tais como Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
Falta de Secure/HTTP Only/SameSite em Cookies não sensíveis.
Reencaminhamento aberto que não pode ser utilizado para exfiltrar informação sensível (cookies de sessão, fichas OAuth)
Questões de gestão com múltiplas sessões ativas
Host-header injection Attacks
Auto-XSS e questões exploráveis apenas através do Auto-XS
CSRF em formulários que estão disponíveis para utilizadores anónimos (por exemplo, o formulário de contacto).
CSRF em logout
Presença da funcionalidade 'autocompletar' ou 'guardar palavra-passe' da aplicação ou navegador web.
Esqueceu-se da página da palavra-passe e o bloqueio da conta não foi aplicado.
Nome de utilizador / enumeração de e-mail sem qualquer outro impacto
Questões de limitação de taxas
Fraco Captcha / Captcha Bypass
Utilização de uma biblioteca conhecida-vulnerável sem descrição de uma exploração específica para a nossa implementação
Questões SSL (exemplo: cifra fraca/não segura, BEAST, BREACH, ataque de renegociação, etc.)

Questões que podem ser abrangidas acrescentando a assinatura de deteção
Introdução de DLL
DLL Hijacking
Sem SSL nos servidores de atualização/download
Desvios do motor AV local
Tapjacking
Vulnerabilidades conhecidas em componentes de terceiros
Ataques possíveis apenas com privilégios de administrador serão avaliados caso a caso

Política de Relatório

Contacte-nos via security@eset.com
Todos os relatórios e materiais relacionados são encriptados por chave pública PGP
Inclua a sua organização e nome de contacto
Escrever uma descrição clara da potencial vulnerabilidade
Acrescentar toda a informação necessária para validar a potencial vulnerabilidade
Incluir o produto ESET e a versão do módulo (ver produto KB e módulo KB para determinar o número da versão) em relatórios relacionados com o produto ESET SysInspector, se aplicável
Prova de Conceito – por favor forneça a descrição mais detalhada possível, incluindo capturas de ecrã ou vídeo (marcado como privado quando carregado em serviços de streaming)
As sugestões de resolução são muito valorizadas
Incluir o impacto da potencial vulnerabilidade que se espera ter sobre os utilizadores, funcionários da ESET ou outros.
Solicitamos ao funcionário que mantenha confidencial qualquer comunicação relativa à vulnerabilidade
Informar sobre quaisquer planos de divulgação e coordenar connosco
Deve ser escrito em inglês

Por favor, note que o relatório pode ser rejeitado quando:

Quando corresponder à sessão “Fora de Âmbito”
Não segue a nossa Política de Relatório
Seja duplicado, apenas o relatório original do primeiro autor a denunciar é tido em conta

O autor será notificado sobre qualquer atualização em processo de reparação/resolução