Programa de Divulgação de Vulnerabilidade

Nosso Programa de Divulgação de Vulnerabilidade tem o objetivo de minimizar o impacto que qualquer falha de segurança tem sobre nossa ferramenta ou usuários. Para se qualificar para o Programa, a vulnerabilidade deve existir na versão pública mais recente. Lembre-se de que somente as vulnerabilidades de segurança serão qualificadas.

Diretrizes e Limitações de Escopo

Antes de relatar, revise as informações a seguir, incluindo nosso programa de divulgação de vulnerabilidades, escopo e outras diretrizes. Para incentivar a pesquisa de vulnerabilidades e evitar qualquer confusão entre hacking de boa-fé e ataque malicioso, pedimos que você:

  • Seguir este Programa de Divulgação, bem como quaisquer outros acordos relevantes
  • Não causar nenhum dano, impedir a fluência do aplicativo ou agir contra nosso Acordo de Termos de Uso
  • Não acesse intencionalmente dados não públicos da Kommo mais do que o necessário para demonstrar a vulnerabilidade.
  • Não acesse, modifique, destrua, salve, transmita, altere, transfira, use ou visualize dados pertencentes a qualquer pessoa que não seja você mesmo. Se uma vulnerabilidade fornecer acesso não intencional aos dados, interrompa o teste, elimine as informações locais e envie um relatório imediatamente.
  • Evite violar a privacidade de outras pessoas, interromper nossos sistemas, destruir dados e/ou prejudicar a experiência do usuário.
  • Não comprometa a privacidade ou a segurança de nossos clientes e a operação de nossos serviços. Essa atividade será tratada como ilegal.
  • Mantenha os detalhes de quaisquer vulnerabilidades descobertas confidenciais, de acordo com este Programa de Divulgação. A divulgação pública não coordenada de uma vulnerabilidade pode resultar na desqualificação deste programa.
  • Cumprir as leis e os regulamentos aplicáveis.
  • Use somente os canais oficiais designados (consulte "Denúncias") para discutir informações sobre vulnerabilidades conosco.

Ao conduzir uma pesquisa de vulnerabilidade genuína no escopo de acordo com este Programa de Divulgação, consideramos essa pesquisa como sendo:

  • Autorizada de acordo com a Lei de Fraude e Abuso de Computadores (CFAA) (e/ou leis estaduais semelhantes), e não iniciaremos nem apoiaremos ações legais contra você por violações acidentais e de boa-fé deste Programa de Divulgação ao realizar pesquisas de vulnerabilidade genuínas.
  • Isenta da Lei de Direitos Autorais do Milênio Digital (DMCA), e não entraremos com uma ação contra você por evasão de controles de tecnologia ao realizar pesquisas de vulnerabilidade genuínas de acordo com este Programa de Divulgação.
  • Isenta de restrições em nosso Acordo de Termos de Uso que interferiram na realização de pesquisa de segurança de vulnerabilidade genuína, e renunciamos a essas restrições de forma limitada para pesquisa de vulnerabilidade genuína feita de acordo com este Programa de Divulgação.
  • Legal e útil para a segurança geral da Internet e conduzidas de boa fé.

Reservamo-nos o direito de não agir em caso de descobertas sem impacto de risco real sobre a integridade e a segurança de nossos dados. Todas as pesquisas que violem os termos deste Programa, o Acordo de Termos de Uso, a documentação relacionada ao GDPR e à Segurança e Proteção, bem como a legislação vigente, serão tratadas como agindo de má-fé e de forma ilegal. Não somos obrigados a fornecer remuneração, taxa ou recompensa por qualquer divulgação de vulnerabilidade - essa ação fica a nosso critério.

Se, a qualquer momento, você tiver preocupações ou não tiver certeza de que sua pesquisa de segurança é consistente com este Programa de Divulgação, envie um relatório por meio de um de nossos canais oficiais de denúncia antes de prosseguir.

Escopo

No momento, os seguintes serviços e aplicativos estão no escopo:

  • Aplicativo e infraestrutura da Web: https://www.kommo.com
  • Qualquer subdomínio de terceiro nível Kommo.com
  • Qualquer coisa com impacto significativo em toda a nossa postura ou infraestrutura de segurança

Fora do escopo

Aceitamos apenas testes manuais ou semimanuais. Todas as descobertas provenientes de ferramentas ou scripts automatizados serão consideradas fora do escopo. Além disso, todos os problemas sem impacto de segurança claramente identificado, cabeçalhos de segurança ausentes ou mensagens de erro descritivas serão considerados fora do escopo.

Esses itens também são considerados fora do escopo:

  • Ataques projetados ou com probabilidade de degradar, negar ou afetar negativamente os serviços ou a experiência do usuário (por exemplo, negação de serviço, negação de serviço distribuída, força bruta, pulverização de senha, spam...).
  • Ataques projetados ou com probabilidade de destruir, corromper, tornar ilegíveis (ou tentativas de fazê-lo) dados ou informações que não pertencem ao usuário.
  • Ataques projetados ou com probabilidade de validar credenciais roubadas, reutilização de credenciais, aquisição de conta (ATO), sequestro ou outras técnicas baseadas em credenciais.
  • Acesso intencional a dados ou informações que não lhe pertencem além do acesso mínimo viável necessário para demonstrar a vulnerabilidade.
  • Realização de ataques físicos, de engenharia social ou eletrônicos contra nossos funcionários, escritórios, redes sem fio ou propriedades.
  • Problemas de segurança em aplicativos, serviços ou dependências de terceiros que se integrem aos produtos ou à infraestrutura da Kommo e que não tenham uma prova de conceito demonstrável para a vulnerabilidade (por exemplo, bibliotecas, serviços SAAS).
  • Problemas de segurança ou vulnerabilidades criadas ou introduzidas pelo denunciante (por exemplo, modificar uma biblioteca da qual dependemos para incluir uma vulnerabilidade com o único objetivo de receber uma recompensa).
  • Ataques realizados em qualquer sistema que não tenha sido explicitamente mencionado como autorizado e dentro do escopo.
  • Relatórios de "práticas recomendadas" ausentes ou outras diretrizes que não indicam um problema de segurança.
  • Ataques relacionados a servidores de e-mail, protocolos de e-mail, segurança de e-mail (por exemplo, SPF, DMARC, DKIM) ou spam de e-mail.
  • Sinalizadores de cookie ausentes em cookies não sensíveis.
  • Relatórios de cifras SSL/TLS inseguras (a menos que sejam acompanhados de uma prova de conceito funcional).
  • Relatórios de como você pode saber se um determinado cliente pode se autenticar em um produto ou serviço Kommo.
  • Relatórios de mapeamentos entre nomes de código e nomes de clientes.
  • Relatórios de varredura simples de IP ou porta.
  • Cabeçalhos HTTP ausentes (por exemplo, falta de HSTS).
  • Práticas recomendadas ou controles de segurança de e-mail (por exemplo, SPF, DKIM, DMARC).
  • Banimento, fingerprinting ou reconhecimento de software ou infraestrutura sem vulnerabilidade comprovada.
  • Relatórios de clickjacking ou self-XSS.
  • Relatórios de registros DNS publicamente resolvíveis ou acessíveis para hosts ou infraestrutura internos.
  • Phishing baseado em domínio, typosquatting, punycodes, bitflips ou outras técnicas.
  • Violação de quaisquer leis ou de quaisquer acordos (ou quaisquer relatórios sobre o mesmo).

Denúncias

Suas descobertas devem ser apoiadas por documentação clara e precisa, sem informações especulativas. Todas as descobertas devem ter uma indicação de relevância e impacto. Lembre-se de fornecer um resumo detalhado da vulnerabilidade, incluindo o alvo, as etapas, as ferramentas e os artefatos usados durante a descoberta que nos permitirão reproduzir a vulnerabilidade.

Para garantir que suas observações sejam relatadas adequadamente, você deve usar somente os canais aprovados, ou seja, deve relatar a vulnerabilidade descoberta por e-mail para security@team.amocrm.com