Política de Divulgação de Vulnerabilidades

Socialinsider - um produto da Code Path SRL

A Socialinsider está comprometida em garantir a segurança dos seus usuários, protegendo suas informações. Esta política oferece orientações para pesquisadores de segurança conduzirem atividades de descoberta de vulnerabilidades e instruções sobre como enviar vulnerabilidades para nós.

Esta política descreve quais sistemas e tipos de pesquisa estão cobertos, como enviar relatórios de vulnerabilidade para nós e por quanto tempo pedimos que os pesquisadores de segurança aguardem antes de divulgar vulnerabilidades publicamente. Incentivamos você a entrar em contato para relatar possíveis vulnerabilidades em nossos sistemas.

Se te esforçares de boa-fé para cumprir esta política durante a tua pesquisa de segurança, consideraremos tua pesquisa autorizada e colaboraremos contigo para entender e resolver o problema rapidamente. A Socialinsider não recomendará nem tomará medidas legais relacionadas à tua pesquisa. Se uma terceira parte iniciar uma ação legal contra ti por atividades realizadas de acordo com esta política, tornaremos esta autorização pública.

Diretrizes

Nesta política, “pesquisa” significa atividades nas quais tu, como pesquisador de segurança:

  • Notifica-nos assim que possível ao descobrir qualquer problema de segurança.
  • Faz todo o possível para evitar violações de privacidade, degradação da experiência do usuário, interrupção de sistemas em produção e destruição ou manipulação de dados.
  • Usa exploits apenas na medida necessária para confirmar a presença de uma vulnerabilidade. Não uses exploits para comprometer ou exfiltrar dados, estabelecer acesso persistente à linha de comando ou para movimentar-se entre outros sistemas.
  • Dá-nos um tempo razoável para resolver o problema antes de divulgá-lo publicamente.
  • Não envie um grande volume de relatórios de baixa qualidade.

Para nos ajudar a entender os relatórios, recomendamos que tua submissão:

  • Descreva o local onde a vulnerabilidade foi descoberta e o impacto potencial da exploração.
  • Traga uma descrição detalhada dos passos necessários para reproduzir a vulnerabilidade – capturas de tela ou gravações de vídeo ajudam bastante.
  • Redige o relatório em inglês.

Assim que identificares uma vulnerabilidade ou encontrares dados sensíveis (incluindo informações pessoais identificáveis, informações financeiras ou informações proprietárias ou segredos comerciais de qualquer parte), deves parar o teu teste, avisar-nos imediatamente e não divulgar esses dados a terceiros.

Práticas proibidas

Os seguintes métodos de teste não estão autorizados:

  • Testes de negação de serviço (DoS ou DDoS) ou outros testes que prejudicam o acesso aos sistemas
  • Testes de vulnerabilidades não técnicas

Esta política se aplica aos seguintes sistemas e serviços:

  • https://www.socialinsider.io
  • https://app.socialinsider.io

Qualquer serviço não listado explicitamente acima, incluindo serviços conectados, está fora do escopo e não está autorizado para testes.
Além disso, vulnerabilidades encontradas em sistemas de fornecedores estão fora do escopo desta política e devem ser relatadas diretamente ao fornecedor conforme a política de divulgação dele (caso exista).
Se não tens certeza se um sistema está no escopo ou não, entra em contato conosco em security@socialinsider.io antes de iniciar tua pesquisa.

Se houver algum sistema fora do escopo que você acha que merece ser testado, entre em contato conosco para conversar antes. O escopo desta política pode ser ampliado com o tempo.

Reportar uma vulnerabilidade

As informações enviadas sob esta política serão usadas apenas para fins de defesa – para mitigar ou corrigir vulnerabilidades.

Se tu identificares vulnerabilidades recém-descobertas que afetam todos os usuários de um produto ou serviço e não apenas a Socialinsider, poderemos compartilhar teu relatório com terceiros. Eles vão tratar teu caso conforme o processo coordenado de divulgação de vulnerabilidades.

Não vamos compartilhar tuas informações de contato sem tua permissão expressa.
Aceitamos relatos de vulnerabilidades pelo e-mail security@socialinsider.io. Tu podes enviar relatos anonimamente.

Quando você escolhe compartilhar suas informações de contato conosco, nos comprometemos a coordenar com você de forma transparente e ágil.

  • Em até 7 dias úteis, vamos confirmar o recebimento do seu relatório.
  • Vamos confirmar a existência da vulnerabilidade e ser o mais transparentes possível sobre as ações tomadas durante o processo de correção.
  • Vamos manter um diálogo sobre as questões.