Política de Divulgação Responsável

image

Política de Divulgação Responsável

Informações, dados e seus processos de suporte, sistemas de informação e redes são vitais para os negócios da Bühler e de nossos clientes e outros parceiros de negócios. A preservação da confidencialidade, integridade e disponibilidade de informações valiosas é um dos principais aspectos para valorizar a confiança que nossos clientes e parceiros de negócios depositam em nós. Se você encontrar problemas de segurança ou vulnerabilidades, é muito importante para nós que você nos comunique. O documento a seguir descreve a estrutura de como esse comunicado e divulgação responsável são definidos pela Bühler.

+

Comunicado

A equipe de Segurança da Informação da Bühler é o ponto de contato para tais comunicados e pode ser contatada em segurança em [at]buhlergroup.com.

Ao comunicar pontos fracos de segurança, inclua os seguintes elementos:

  • Tipo de vulnerabilidade.
  • Descrição exata da vulnerabilidade e dos elementos/ativos afetados.
  • Uma descrição clara do motivo de você achar que é um problema de segurança ou vulnerabilidade.
  • Informações adicionais úteis, tais como etapas para reproduzir o problema, capturas de tela, scripts de prova de conceito e similares.

Diretrizes

Para incentivar a divulgação responsável, pedimos a todos os pesquisadores que sigam as seguintes diretrizes gerais:
 

  • A Bühler necessita de um tempo (mínimo de 60 dias) para verificar um comunicado e implementar uma correção. Não divulgue nenhuma informação durante este período a terceiros ou ao público sem a nossa aprovação.
  • Nenhuma atividade de teste deve prejudicar os serviços e produtos da Bühler. Não execute ataques/testes de “recusa de serviço”.
  • Não obtenha, modifique ou destrua nenhum informação sensível em potencial quando uma vulnerabilidade identificada permitir que você faça isso.
  • Não forneça relatórios de scanners automatizados sem verificação manual da vulnerabilidade.
     

Se você seguir essas diretrizes, nos comprometemos a:
 

  • Não representar judicialmente ou apoiar qualquer ação legal relacionada à sua pesquisa.
  • Trabalhar juntos com você para entender e corrigir o problema rapidamente, incluindo uma confirmação inicial de seu comunicado em até 5 dias após o envio.
  • Considerar uma recompensa dependendo da criticidade da descoberta e das informações/sistema/serviço afetados, mas em qualquer caso, se a descoberta estiver no escopo desta política e se você desejar, nós o adicionaremos ao nosso hall da fama abaixo. Isso se aplica se você for o primeiro a comunicar o problema e o problema ainda não for conhecido por nós.

Escopo

Vulnerabilidades dentro do Escopo

Qualquer problema que afete a confidencialidade ou integridade das informações de uma forma compreensível (de ponta a ponta) provavelmente está dentro do escopo. Exemplos:

  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Falhas de Autenticação ou Autorização
  • Injeção de SQL (SQLI)
  • Execução Remota de Código (RCE)
  • Inclusões de Arquivos Locais ou Remotos

 

Vulnerabilidades fora do Escopo

Os itens a seguir são considerados fora do escopo e não serão recompensados:

  • Interrupções devido a ataques de “recusa de serviço”.
  • Erros que não afetam a confidencialidade, integridade ou disponibilidade das informações ou do serviço/ativo relacionado ou não representam um risco direto para a segurança.
  • Vazamento de informações não críticas.
  • Registros de DNS como SPF, MARC, DKIM.
  • Logout Cross-Site Request Forgery.
  • Problema relacionado a certificado TLS/SSL, como criptografias fracas ou protocolos desatualizados.
  • Problemas que só pode ser explorados com “clickjacking”.
  • Vulnerabilidades que exijam que uma vítima instale um software não padrão ou de outra forma tome medidas ativas que a tornem suscetíveis.
  • Vulnerabilidades que incluem/exigem engenharia social de nossos funcionários ou clientes.
  • Ataques que exigem acesso físico a um dispositivo ou sistema.
  • Ataques em cadeia hipotéticos em que uma vulnerabilidade identificada somente levaria a um problema de segurança juntamente com uma situação presumida/hipotética.
  • Sinalizadores de cookies ausentes em cookies não sensíveis.
  • Cabeçalhos de segurança http ausentes, o que não leva diretamente a uma vulnerabilidade.
  • Presença de banner ou informações de versão, a menos que esteja relacionado a uma versão vulnerável.

Hall da Fama

Créditos Data Descrição
Ravindra Dagale October 2021 Reported a vulnerable, outdated component in a web application.
Yunus Yildirim October 2021 Reported a valid vulnerability in a web application.
Mohammed Eldawody August 2021 Reported four valid findings with well documented explanations.