A Política do Programa de Divulgação de Vulnerabilidades do Asaas fornece diretrizes para que pesquisadores de segurança descubram e relatem de forma responsável as vulnerabilidades em potencial, identificadas nas plataformas e/ou ativos do Asaas.
Regras do Programa
A vulnerabilidade relatada deve estar dentro do escopo de nosso programa;
A vulnerabilidade deve ser reportada exclusivamente por meio do formulário que será indicado abaixo;
Consideraremos válido o primeiro pesquisador a reportar a vulnerabilidade;
A notificação deve ser realizada assim que for descoberta a vulnerabilidade de segurança em potencial;
Os métodos de varredura automatizados devem ser utilizados com cautela para não degradar os serviços e não impactar os usuários com testes;
O programa de divulgação de vulnerabilidades é estendido a pesquisadores externos que aceitam os termos e condições mencionados nesta Política;
O reporte de vulnerabilidade não pode ser de um colaborador do Asaas atualmente, nem ter trabalhado na empresa nos últimos 12 meses, nem ser parente, nem ter nenhuma relação próxima de amizade ou outras com um dos nossos colaboradores;
Use ou acesse apenas contas e informações que pertençam a você;
NÃO tente provar a sua vulnerabilidade por conta própria;
NÃO divulgue a vulnerabilidade descoberta;
NÃO tente obter acesso à conta ou dados de um usuário real;
NÃO vaze, manipule ou destrua quaisquer dados de usuários;
NÃO execute ataques de engenharia social, físicos ou de negação de serviço contra colaboradores, locais ou ativos do Asaas;
Todas as ações devem ser coordenadas com o time de Segurança da Informação do Asaas;
Se não tiver certeza se um sistema está no escopo ou se precisar de ajuda para relatar uma descoberta, entre em contato conosco: security@asaas.com.br;
Siga as diretrizes desta política de divulgação de vulnerabilidade e todas as leis aplicáveis.
Escopo
*.asaas.com – Teste do website
*.asaas.com - Teste de API
Aplicativo móvel do Asaas para iOS – Teste de aplicativo móvel
Aplicativo móvel do Asaas para Android – Teste de aplicativo móvel
Vulnerabilidades aceitas
Os itens a seguir são considerados vulnerabilidades aceitas:
Execução remota de código;
Injeções (por exemplo, injeções de SQL);
XXE;
XSS;
LFR/LFI/RFI;
SSRF;
Falsificação de solicitação no lado do servidor;
Directory Traversal – Inclusão de arquivo local;
Desvio de autenticação/autorização (controle de acesso corrompido);
Escalonamento de privilégios;
Referência insegura direta a objeto;
Erro de configuração;
Fraude de cache da web;
Erro de configuração de CORS;
Injeção de CRLF;
Falsificação de solicitações entre sites;
Open redirect;
Divulgação de informações confidenciais;
Request smuggling;
Conteúdo misto;
Execução remota de código (RCE);
Vulnerabilidades de lógica de negócios;
IDOR;
Vulnerabilidades de controle de acesso;
Account takeover;
Falta de Autenticação/Autorização;
XSS e CSRF com impacto em dados confidenciais.
Vulnerabilidades fora do escopo
O Asaas usa muitos sites/serviços de terceiros que são considerados fora do escopo deste programa. Além disso, a lista do escopo está sujeita a alterações.
Os itens a seguir são considerados fora do escopo:
Wi-Fi;
E-mail corporativo;
Aplicativos/serviços de terceiros;
Ambientes que não são de produção;
Spam;
Vulnerabilidades que exigem engenharia social/phishing;
Relatórios de phishing e outras técnicas de engenharia social;
Ataques DDOS;
Ataques Man-in-the-Middle;
Questões hipotéticas que não têm nenhum impacto prático;
Vulnerabilidades de segurança em aplicativos/bibliotecas de terceiros e em sites de terceiros integrados ao Asaas;
Saída do scanner ou relatórios gerados pelo scanner;
Problemas encontrados por meio de testes automatizados;
Bugs divulgados publicamente em software de Internet dentro de 30 dias após sua divulgação;
Injeções de cabeçalho de host sem um impacto específico e demonstrável;
Self-XSS sem capacidade de atacar outros usuários login/logout CSRF;
CSRF e XSS sem influenciar dados confidenciais;
Divulgação de informações públicas sobre os usuários;
Clickjacking;
Mensagens sobre desvantagens de usar códigos SMS;
A capacidade de envio ilimitado de SMS e e-mail;
Falta de mecanismos de segurança recomendados sem um vetor de ataque adicional (por exemplo, cabeçalhos de segurança HTTP, sinalizadores de segurança de cookies ou proteção CSRF);
TLS ou SSL configurado inseguro sem um vetor de ataque;
Abra o Redirecionamento sem um vetor de ataque adicional (por exemplo, autorização de roubo de token);
Substituição de conteúdo na página;
Vulnerabilidades que exigem a implementação de cenários complexos ou improváveis de interação do usuário;
Divulgação de caminho completo;
Usando software desatualizado ou potencialmente vulnerável sem um vetor de ataque adicional;
Divulgação de informações técnicas ou insensíveis (por exemplo, versões de produtos ou softwares usados);
Problemas relacionados ao controle de cache;
Falta de sinalizadores de segurança nos cookies;
Sequestro de links quebrados.
Recompensas
As recompensas podem variar de acordo com: gravidade do problema, novidade, probabilidade de exploração, ambiente e outros fatores. As decisões sobre as recompensas são tomadas pelo time de Segurança da Informação do Asaas, para cada caso reportado.
Severidade | Valor |
Crítico | R$ 1.000,00 |
Alto | R$ 500,00 |
Médio | R$ 0,00 |
Baixo | R$ 0,00 |
Como relatar uma vulnerabilidade?
Envie um relatório ao programa de divulgação de vulnerabilidades do Asaas confirmando que você compreende e aceita a política e os termos e condições. Para isso, basta submeter as informações, utilizando este formulário.
O relatório anexado ao formulário de análise deve conter os seguintes itens:
Onde o bug foi encontrado (escopo);
Quem ele afeta (empresa, clientes, usuários ou público no geral);
Qual vulnerabilidade encontrada;
Qual impacto a vulnerabilidade gera para a organização;
Fornecer um passo-a-passo para a reprodução da falha;
Fornecer informações para a Prova de Conceito através de imagens ou vídeos;
Fornecer referências sobre a vulnerabilidade e possíveis correções.
Propriedade Intelectual
A participação no Programa de Divulgação de Vulnerabilidades do Asaas não concede nenhum direito de propriedade intelectual ou direito de propriedade sobre os produtos, ou serviços do Asaas aos pesquisadores participantes, ou qualquer outro terceiro.
Os direitos sobre a propriedade intelectual são de titularidade exclusiva do Asaas, tal como por está assegurado, não podendo ser copiados, reproduzidos, transmitidos, exibidos, vendidos, licenciados ou ainda, explorados para qualquer outra finalidade. Independentemente da concessão de uma recompensa pelo envio de um relatório, é atribuído ao Asaas todos os direitos, participação e interesses, incluindo todos os direitos de propriedade intelectual de todos os relatórios de vulnerabilidades enviados.
O pesquisador participante declara que concorda e possui legitimidade para conceder e atribuir todos esses direitos, participação e interesses ao Asaas quanto aos envios, cabendo ao Asaas utilizar as informações da melhor forma que lhe convier, bem como, o participante declara que sua participação no Programa de Divulgação de Vulnerabilidades do Asaas não viola, direta ou indiretamente, nenhum acordo que possa ter com qualquer outro terceiro, como seu empregador ou qualquer direito de terceiros.
Avalie este artigo nos emojis abaixo. Ajude a entender como estamos nos saindo!