Segurança SSL

Divulgação Responsável

Nossos clientes confiam em nós para manter seus dados seguros e confidenciais. Levamos a segurança a sério e trabalhamos constantemente para garantir que essa confiança seja bem fundamentada. Tem algo para relatar? Entre em contato conosco em security@teamretro.com

Divulgação responsável

Incentivamos todos que praticam a divulgação responsável e cumprem nossas políticas e termos de serviço a participar do nosso programa de recompensas por bugs. Evite testes automatizados e realize testes de segurança apenas com seus próprios dados. Não divulgue nenhuma informação sobre as vulnerabilidades até que as corrijamos. As recompensas são feitas a nosso critério, dependendo da criticidade da vulnerabilidade relatada, e são distribuídas via PayPal.

Você pode relatar vulnerabilidades entrando em contato com security@teamretro.com. Inclua uma prova de conceito. Responderemos o mais rápido possível à sua submissão e não tomaremos medidas legais se você seguir as regras.

Cobertura

  • *.teamretro.com
    Especificamente:
    • secure.teamretro.com

Exclusões

  • *.eu.teamretro.com
  • ww1.teamretro.com
  • ww2.teamretro.com
  • ww3.teamretro.com
  • www.teamretro.com
  • at.teamretro.com
  • help.teamretro.com
  • feedback.teamretro.com
  • mail.teamretro.com
  • status.teamretro.com
  • track.teamretro.com
  • icebreaker.teamretro.com
  • www-assets.teamretro.com
  •  

As vulnerabilidades aceitas são as seguintes

  • Cross-Site Scripting (XSS)
  • Redirecionamento aberto
  • Cross-site Request Forgery (CSRF)
  • Inclusão de comando/arquivo/URL
  • Problemas de autenticação
  • Execução de código
  • Injeções de código ou banco de dados

Este programa de recompensas por bugs NÃO inclui

  • Enumerações de conta/e-mail
  • Negação de Serviço (DoS)
  • Ataques que podem prejudicar a confiabilidade/integridade de nossos negócios
  • Ataques de spam
  • Clickjacking em páginas sem autenticação e/ou alterações de estado confidenciais
  • Avisos de conteúdo misto
  • Falta de DNSSEC
  • Spoofing de conteúdo/injeção de texto
  • Ataques de tempo
  • Engenharia social
  • Phishing
  • Cookies inseguros para cookies não confidenciais ou cookies de terceiros
  • Vulnerabilidades que exigem interação extremamente improvável do usuário
  • Explorações que exigem acesso físico à máquina de um usuário
  • Cabeçalhos de segurança ausentes que não levam diretamente a uma vulnerabilidade
  • Melhores práticas ausentes (exigimos evidências de uma vulnerabilidade de segurança)

A varredura automatizada deve ser limitada a 1 solicitação por segundo (1rps) sem acordo prévio, e todos os detalhes da recompensa por bugs devem permanecer confidenciais.

Nossos agradecimentos aos seguintes pesquisadores de segurança:

  • Abin Joseph
  • daniel_v
  • Ananda Dhakal
  • Luiz Viana
  • Aman Gupta
  • Vipul Sahu
  • Hsu Myat Noe
  • Tomasz Bartoszewski
  • Harry Gertos
  • Sathwik Veeramaneni
  • Yassine Nafiai
  • SIDN SOC
  • Burhan Chhotaudepur
  • Faizan Nehal
  • Aaditya Kumar Sharma
  • Syed Ahsan Raza
  • Mohammed Eldawody
  • Yaniv Shoshani
  • Lucas Werkmeister
  • Ankit Rathva