Detetaste uma falha de segurança no Startselect?
Informa-nos antes de tornares essa informação pública para que possamos tomar medidas. Isto chama-se "divulgação responsável".
O que fazer:
Envia um email a denunciar uma vulnerabilidade para security@startselect.com. Este email serve apenas para denunciar vulnerabilidades.
Para falar com o apoio ao cliente acede a: https://startselect.com/help
Fornece-nos informação suficiente para que possamos reproduzir a falha e corrigi-la o mais rapidamente possível. Por norma, o endereço IP ou URL e uma descrição da falha de segurança é suficiente. Quanto mais complexa for a falha, mais pormenores deverás fornecer.
Deixa-nos o teu contacto para que te possamos contactar mais tarde. Pelo menos um endereço de email ou contacto telefónico.
Denuncia a falha assim que a detetares.
Não partilhes qualquer informação acerca da falha com ninguém até que esteja corrigida.
Lida de forma responsável com a informação que tens em teu poder. Não faças nada para além do necessário para demonstrar a falha de segurança.
Temos o direito de deixar de responder ou processar uma ou mais denúncias da tua parte. Podemos fazê-lo, por exemplo, quando recebemos várias denúncias inválidas da tua parte. Ou quando as tuas denúncias são de qualidade insuficiente, pouco claras ou não te é possível fornecer mais detalhes. Apenas processamos denúncias feitas em inglês.
O que não fazer:
Enviar malware;
Copiar, alterar ou eliminar dados do sistema em causa (como alternativa poderás criar uma lista de diretórios do sistema);
Alterar o sistema;
Visitar repetidamente o sistema ou partilhar acesso com outros;
Usar "força bruta" para abrir o sistema;
Tentar ataques de negação de serviço ou engenharia social.
Usar scanners ou ferramentas automáticas
O que esperar:
Ao denunciar uma falha de segurança, verifica que cumpres as condições descritas acima. Se sim, o Startselect não irá anexar qualquer consequência legal à tua notificação.
O Startselect lida com todas as notificações que recebe de forma confidencial. Não irá partilhar os teus dados pessoais com terceiros sem a tua permissão a não ser que tal seja exigido por lei ou ordenado por um tribunal.
O Startselect pode, se assim o desejares, mencionar-te como o responsável pela deteção da falha de segurança.
O Startselect irá enviar-te um aviso de receção dentro de três dias úteis.
O Startselect irá responder à tua notificação dentro de três dias úteis. Esta resposta irá conter uma avaliação da tua notificação e uma data expectável para a resolução da falha.
Enquanto responsável pela deteção da falha, o Startselect irá informar-te do progresso da operação de correção da mesma.
O Startselect irá corrigir a falha o mais rapidamente possível, nunca mais de 60 dias após a receção da notificação. O Startselect irá trabalhar contigo para determinar se a falha denunciada foi tornada pública, e se foi, como tal aconteceu. A falha não deverá ser tornada pública até ser corrigida.
O Startselect poderá recompensar-te como reconhecimento pelo teu auxílio. Esta recompensa poderá variar consoante a gravidade, vulnerabilidade e qualidade da tua denúncia. Esta recompensa é do exclusivo critério do Startselect.
Vulnerabilidades fora do escopo:
Ataques de engenharia social incluindo aqueles direcionados a funcionários internos
Ataques físicos contra as nossas infraestruturas, instalações ou escritórios
Relatórios obtidos ou gerados por scanner, incluindo qualquer ferramenta automática ou de exploit
Qualquer vulnerabilidade obtida através do comprometimento de uma conta de funcionário
Políticas de e-mail como SPF ou DMARC. Spam. Ataques com e-mails falsos ou fraudulentos
Vulnerabilidades de rede
Account takeover (PLA, Enumeração de utilizador, etc)
Clickjacking, CSRF de login ou logout
Impressão digital, divulgação de mensagem de erro
Protocolo de níveis de ataque (ex: BEAST/BREACH)
Falta de cabeçalhos de segurança, sinalizador httponly, etc
Tabnabbing
Cache após logout
Políticas de palavra-passe
Verifica também o link https://bughunters.google.com/learn/invalid-reports. Basicamente partilhamos a visão da Google em como estas situações não deverão ser vistas como vulnerabilidades.
Última atualização: 11 de junho de 2022