Programa de Divulgação de Vulnerabilidade da Comdinheiro
Abordar vulnerabilidades potenciais em qualquer aspecto de nossos serviços e produtos
Na Nelogica, levamos a segurança cibernética a sério, e a segurança dos nossos sistemas é de suma importância. Nos preocupamos profundamente em manter a confiança que nossos clientes depositam em nós.
Independente do quanto nos esforçamos ao desenvolver a segurança dos nossos sistemas, ainda podem existir vulnerabilidades. Nós o encorajamos a nos notificar se acredita ter identificado um problema de segurança em nossos produtos ou serviços, para que possamos trabalhar imediatamente juntos para resolvê-lo.
Agradecimentos
A Nelogica tem o prazer de reconhecer e destacar os hackers que identificaram vulnerabilidades válidas, colocando o seu nome na nossa página do Hall da Fama.
Embora apreciemos todos os relatórios de divulgação, como se trata de um programa de divulgação e não um de recompensas, não podemos proporcionar prêmios por quaisquer divulgações fornecidas neste programa, como dita os termos de utilização da Nelogica.
Diretrizes
Exigimos que todos os pesquisadores:
- Façam todos os esforços possíveis para evitar violações da privacidade, degradação da experiência do utilizador, interrupção dos sistemas de produção e destruição de dados durante os testes de segurança. Apenas interajam com as contas que possuem ou então com as que tenham permissão explícita do titular da conta.
- Realizem a pesquisa apenas dentro do âmbito definido abaixo.
- Utilizem os canais de comunicação identificados para nos comunicar sobre informações de vulnerabilidade.
- Mantenham as informações sobre quaisquer vulnerabilidades que tenham descoberto em sigilo entre vocês mesmos e o Vector.
- A divulgação de quaisquer vulnerabilidades descobertas não é permitida. Este é um programa privado e qualquer publicação é proibida - o que pode resultar em perseguição legal. Por exemplo, vocês não têm permissão de divulgarem ao público em seu blog (ou qualquer outro meio de comunicação social) as suas descobertas, independentemente do tempo decorrido desde a descoberta, ou se a vulnerabilidade foi corrigida ou não.
Se seguir essas diretrizes ao nos relatar um problema, nós nos comprometemos a:
- Não buscar ou apoiar qualquer ação legal relacionada à sua pesquisa (também conhecida como "Porto Seguro")
- Trabalhar com você para compreender e resolver o problema rapidamente (incluindo uma confirmação inicial do seu relatório dentro de 72 horas após sua apresentação)
Escopo de aplicação
Fora do escopo de aplicação
As solicitações dos clientes e quaisquer serviços hospedados por fornecedores terceirizados estão excluídos do âmbito. No interesse da segurança dos nossos usuários, funcionários, da Internet em geral, e de você mesmo como um pesquisador de segurança, os seguintes tipos de teste estão excluídos do nosso escopo:
- Resultados de testes presenciais, como acesso a escritórios (por exemplo, através de portas abertas, tailgating);
- Descobertas derivadas principalmente da engenharia social (como phishing, vishing);
- Descobertas de aplicações ou sistemas não listados na seção "Escopo de aplicação";
- DoS e sobrecarga do servidor com muitas ou grandes solicitações;
- Utilização de ferramentas automatizadas
As seguintes aplicações estão excluídas desse escopo:
- *.comdinheiro.com.br
Os seguintes problemas possíveis não são considerados dentro do escopo:
- HTTP 404 ou outros códigos e páginas de erro.
- Divulgação de banner ou versão de qualquer tipo.
- Presença de arquivos públicos comuns, tais como robots.txt ou arquivos no diretório .well-known.
- Listagem de diretórios sem dados sensíveis.
- CSRF em recursos anônimos, ou qualquer problema CSRF que não seja uma prova de conceito mostrando controle sobre ações sensíveis.
- Clickjacking, a menos que seja fornecida uma prova de conceito que mostre a apropriação da conta ou a divulgação de recursos sensíveis.
- Páginas proibidas.
- Acesso e cópia dos dados dos nossos clientes.
- Realização de pesquisas contra os nossos parceiros e clientes.
- Abuso dos nossos serviços para conduzir fraudes.
- Vulnerabilidades de Negação de Serviço (DoS/DDoS) a nível de rede.
- Utilização do método HTTP OPTIONS/TRACE.
- Spamming, SPF, DKIM, DMARC.
- Self XSS.
- Tabnabbing.
- Problemas de cabeçalho.
- Vulnerabilidades de TLS/SSL.
- Configurações incorretas de segurança.
- Falta de limitação de taxas em quaisquer recursos.
- Injeções de cabeçalho de host, a menos que se possa mostrar como podem levar ao roubo de dados do usuário.
- Problemas de política de senhas.
- Cookies sem flags HTTP-Only e Secure.
- Componentes com vulnerabilidades conhecidas.
- Conteúdo misto (tráfego HTTP e HTTPS).
- Aquisição de sub-domínios.
Como informar
Se acredita ter encontrado uma vulnerabilidade de segurança em um dos nossos produtos ou plataformas, por favor envie um e-mail para security@nelogica.com.br.
Favor incluir os seguintes detalhes com o seu relatório:
- Descrição da localização e impacto possível da vulnerabilidade;
- Uma descrição detalhada das etapas necessárias para reproduzir a vulnerabilidade (scripts POC e capturas de tela são úteis para nós).