Vulnerability Disclosure Policy

Socialinsider - a Code Path SRL product

Socialinsider is committed to ensuring the security of its users by protecting their information. This policy gives security researchers guidelines for conducting vulnerability discovery activities and instructions on how to submit vulnerabilities to us.

This policy describes what systems and types of research are covered under this policy, how to send us vulnerability reports, and how long we ask security researchers to wait before publicly disclosing vulnerabilities. We encourage you to contact us to report potential vulnerabilities in our systems.

Se você fizer um esforço de boa fé para cumprir esta política durante sua pesquisa de segurança, consideraremos sua pesquisa como autorizada, colaborando para entender e resolver o problema rapidamente. A Socialinsider não recomendará ou tomará medidas legais em relação à sua pesquisa. Caso uma terceira parte inicie uma ação legal contra você por atividades conduzidas de acordo com esta política, informaremos sobre essa autorização.

Diretrizes

De acordo com esta política, “pesquisa” significa as atividades em que você, como pesquisador de segurança:

  • Nos notifica assim que possível após descobrir qualquer questão de segurança.
  • Faz todo o possível para evitar violações de privacidade, degradação da experiência do usuário, interrupção de sistemas em produção e destruição ou manipulação de dados.
  • Usa exploits apenas na medida necessária para confirmar a presença de uma vulnerabilidade. Não use um exploit para comprometer ou exfiltrar dados, estabelecer acesso persistente à linha de comando ou usá-lo para acessar outros sistemas.
  • Nos fornece um tempo razoável para resolver o problema antes de divulgá-lo publicamente.
  • Não envia um volume alto de relatórios de baixa qualidade.

Para nos ajudar a entender os relatórios, recomendamos que sua submissão:

  • Descreva o local onde a vulnerabilidade foi encontrada e o impacto potencial da exploração.
  • Forneça uma descrição detalhada dos passos necessários para reproduzir a vulnerabilidade – capturas de tela ou gravações de vídeo são úteis.
  • Escreva o relatório em inglês

Assim que constatares que existe uma vulnerabilidade ou encontrares qualquer dado sensível (incluindo informações pessoais identificáveis, informações financeiras ou informações proprietárias ou segredos comerciais de qualquer parte), deves parar o teu teste, notificar-nos imediatamente e não divulgar esses dados a ninguém.

Práticas proibidas

Os seguintes métodos de teste não estão autorizados:

  • Testes de negação de serviço (DoS ou DDoS) ou outros que prejudiquem o acesso aos sistemas
  • Testes de vulnerabilidade não técnicos

Esta política aplica-se aos seguintes sistemas e serviços:

  • https://www.socialinsider.io
  • https://app.socialinsider.io

Qualquer serviço não listado acima, como serviços conectados, está fora do escopo e não está autorizado para teste.
Além disso, vulnerabilidades encontradas em sistemas de nossos fornecedores estão fora desta política e devem ser reportadas diretamente ao fornecedor, conforme a política de divulgação dele (se houver).
Se não tiveres certeza se um sistema está dentro do escopo, entra em contato conosco em security@socialinsider.io antes de iniciar tua pesquisa.

Se houver um sistema específico fora do escopo que tu achas que merece testes, entra em contato para conversarmos antes. O escopo desta política pode ser ampliado com o tempo.

Relatar uma vulnerabilidade

As informações enviadas sob esta política serão usadas apenas para fins defensivos – para mitigar ou corrigir vulnerabilidades.

Se teus achados incluírem vulnerabilidades recém-descobertas que afetam todos os usuários de um produto ou serviço, e não apenas a Socialinsider, podemos compartilhar teu relatório com terceiros, onde será tratado pelo processo coordenado de divulgação de vulnerabilidades deles.

Não vamos compartilhar tuas informações de contato sem tua permissão explícita.
Aceitamos relatos de vulnerabilidades pelo e-mail security@socialinsider.io. Os relatos podem ser enviados de forma anônima.

Ao escolher compartilhar teus dados de contato conosco, nos comprometemos a te responder de forma aberta e ágil.

  • Em até 7 dias úteis, vamos confirmar o recebimento do teu relatório.
  • Vamos confirmar a existência da vulnerabilidade e ser o mais transparente possível sobre as etapas tomadas durante a solução.
  • Vamos manter um diálogo contínuo sobre os problemas.