Relatando um Problema de Segurança
Se você descobrir uma questão de segurança ou vulnerabilidade em um produto ou serviço da Acquia, pedimos que nos relate isso de forma confidencial.
Divulgação Responsável
Na Acquia, levamos muito a sério a segurança de nossos produtos. Educamos nossa equipe sobre as melhores práticas de segurança e nosso processo de desenvolvimento inclui etapas de garantia de qualidade para assegurar que nossos produtos sejam de alta qualidade e seguros. No entanto, como todos os produtos de software complexos, é possível que uma vulnerabilidade de segurança esteja presente em um de nossos produtos.
Por favor, envie os detalhes por e-mail para nossa equipe de segurança em [email protected]. Valorizamos a divulgação responsável e reconheceremos os pesquisadores de segurança quando um problema for relatado, aderindo aos seguintes parâmetros.
A Acquia não possui atualmente um programa de recompensas por bugs implementado, porém ficamos felizes em creditar os pesquisadores com seus nomes e um link para o endereço de sua escolha (por exemplo, Twitter ou site pessoal) em nosso Hall da Fama abaixo.
Parâmetros e Exclusões
Parâmetros
- Não acesse, destrua ou impacte negativamente os dados da Acquia ou de seus clientes de forma alguma.
- Não utilize scanners automatizados. (O uso de scanners automatizados pode resultar em ações investigativas e no bloqueio do seu IP.)
- Faça um esforço de boa-fé para evitar violações de privacidade e interrupção ou degradação dos serviços da Acquia durante sua pesquisa. (ex: Negação de Serviço)
- Não realize qualquer tipo de ataque físico ou eletrônico contra o pessoal, escritórios ou data centers da Acquia.
- Permita tempo razoável para a Acquia investigar seu relatório e realizar qualquer remediação necessária.
- Não viole leis nem quebre acordos anteriores.
Exclusões
- Banners de software do servidor exibidos ou outras informações de versão.
- Mensagens de erro descritivas.
- Cabeçalhos de segurança HTTP ausentes. (ex.: X-Frame-Options)
- Registros SPF ausentes ou incorretos.
- CSRF em formulários disponíveis para usuários anônimos
- Enumeração de nome de usuário / e-mail
- Divulgação de arquivos públicos conhecidos. (ex.: robots.txt)
A Acquia não iniciará ações legais contra pesquisadores, desde que sigam esses parâmetros. A Acquia se reserva o direito de creditar apenas pesquisadores que tenham relatado um problema comprovado e de gravidade suficiente.
Detalhes da Submissão
Forneça o máximo de detalhes relevantes possível, como:
- Como a vulnerabilidade pode ser explorada e o impacto potencial.
- Como você descobriu a vulnerabilidade e passos claros para reproduzi-la.
- Qualquer prova de conceito do ataque e/ou imagens mostrando o vetor de ataque.
- Quaisquer correções conhecidas ou controles para mitigar a vulnerabilidade.
Hall da Fama de Segurança
Um agradecimento especial às seguintes pessoas que divulgaram responsavelmente vulnerabilidades à Acquia no passado:
- Harshal Bafna - LinkedIn
- Bharat Adhikari | LinkedIn
- Mohit Kumar - LinkedIn
- Corrie Sloot - LinkedIn
- Ramlal - LinkedIn
- Smriti Chandravanshi - LinkedIn
- S M Tarikul Alam - LinkedIn
- Guillermo Gregorio - LinkedIn
- Gaurang maheta - LinkedIn
- Raghav Khandelwal | LinkedIn
- Tim Koopmans | Twitter
- Mansoor Rangwala | LinkedIn
- Ravi Pavan | LinkedIn
- Rachit Verma | LinkedIn
- Chris Davis | Twitter
- Vincenzo De Naro Papa | Twitter
- Marek Jílek | www.mjilek.cz
- Anshuman Pattnaik | Twitter, hackbotone.com
- Jubin Sharma | Twitter
- Sarvagya Sonkar | LinkedIn
- Naveen kumawat(nvk) | Twitter
- Ausaf Liaquat
- Amjad Kabaha - Facebook
- Prakash Kumar - LinkedIn
- Vishal Panchani (gujjuboy10x00) - Twitter
- Ronak Nahar (naharronak) - LinkedIn
- Chirag Gupta (chiraggupta8769) - LinkedIn
- Shoeb "CaptainFreak" Patel - Twitter
- Gokul Babu (gokul-babu-452b3b112) - LinkedIn
- Suhas Gaikwad (iamsuhasgaikwad) - Twitter
- S.Vijay (cracbaby) - Twintech Solutions - Facebook
- Fabio Pires (fabiopirespt) - Twitter
- Francesco Mifsud (gradiusx) - Twitter
- Cody Zacharias
- Kamil Sevi (kamilsevi) - Twitter
- Emanuel Bronshtein (e3amn2l) - Twitter
- M.R.Vignesh Kumar (vigneshkumarmr) - Twitter
- Prajal Kulkarni
- Himanshu Kumar Das (mehimansu) - Twitter
- Ajay Singh Negi
- Atulkumar Hariba Shedage
- Chiragh Dewan (ChiraghDewan) - Twitter
- Rafay Baloch (rafayhackingarticles.net)
- SimranJeet Singh
- Adam Ziaja (adamziaja.com)
- Piyush Malik (ThePiyushMalik) - Twitter
- Harsha Vardhan
- Wan Ikram (rinakikun) - Twitter
- Krutarth Shukla
- Narendra Bhati (narendradewsoft)- Facebook
- Ahmad Ashraff (yappare) - Twitter
- Tejash Patel & Parveen Yadav
- Joeri Poesen
- Vedachala (vedachalaka) - Twitter
- Sebastian Neef & Tim Schäfers
- internetwache - Twitter
- Vinesh Redkar (AVsecurity.in)
- Samandeep Singh
- Dhaval Chauhan (17haval) - Twitter
- Nitesh Shilpkar
- Umraz Ahmed (umrazahmed) - Twitter
- Ehraz Ahmed (securityexe) - Twitter
- Jigar Thakkar (Infobit Technologies)
- Tushar. R. Kumbhare (Defencely)
- Siddhesh Gawde
- Frans Rosén (www.detectify.com)
- Chirag Paghadal
- Yuji Kosuga (yujikosuga) - Twitter
- Rafael Pablos (silverneox.blogspot.com)
- Reegun Richard Jayapaul (reegun) - LinkedIn
- Nitin Goplani (nitingoplani) - LinkedIn
- Yogesh Modi
- Ali Hassan Ghori
- Turzo Ahmed
- Ashesh Kumar
- Muhammed Gamal Fahmy - Facebook
- Mandeep Singh Jadon
- Kiran Karnad
- Akshay Pandurangi - Facebook
- Somesh Yadav
- Naveen Ramesh
- Omar HAMMOU (https://hackerone.com/xramos)