Divulgação responsável

Divulgação Responsável

Nossos clientes confiam em nós para manter seus dados seguros e confidenciais. Levamos a segurança a sério e trabalhamos constantemente para garantir que essa confiança seja justificada. Tem algo a relatar? Entre em contato conosco pelo e-mail security@TeamRetro.com

Divulgação responsável

Incentivamos todas as pessoas que pratiquem a divulgação responsável e cumpram nossas políticas e termos de serviço a participarem do nosso programa de divulgação de vulnerabilidades. Evite testes automatizados e realize testes de segurança apenas com seus próprios dados. Não divulgue nenhuma informação sobre as vulnerabilidades até que as corrijamos. Podemos, a nosso critério exclusivo, oferecer reconhecimento por relatórios de alta qualidade e de grande impacto que demonstrem um risco de segurança genuíno.

Você pode relatar vulnerabilidades entrando em contato com security@teamretro.com. Por favor, inclua uma demonstração de conceito. Responderemos o mais rápido possível ao seu relato e não tomaremos medidas legais se você seguir as regras.

Cobertura:

• secure.teamretro.com

Exclusões:

• *.eu.TeamRetro.com
• ww1.TeamRetro.com
• ww2.TeamRetro.com
• ww3.TeamRetro.com
• www.teamretro.com
• at.TeamRetro.com
• help.teamretro.com
• feedback.teamretro.com
• mail.TeamRetro.com
• status.TeamRetro.com
• track.TeamRetro.com
• games.teamretro.com
• icebreaker.teamretro.com
• ideas.teamretro.com
• planning-poker.teamretro.com
• www-assets.TeamRetro.com

As vulnerabilidades aceitas são as seguintes:

• Cross-Site Scripting (XSS)
• Redirecionamento aberto
• Falsificação de Solicitação entre Sites (CSRF)
• Inclusão de comando/arquivo/URL
• Problemas de autenticação
• Execução de código
• Injeções de código ou de banco de dados

Este programa de divulgação de vulnerabilidades NÃO inclui:

• Enumeração de contas/e-mails
• Ataque de Negação de Serviço (DoS)
• Ataques que possam comprometer a confiabilidade/integridade de nossos negócios
• Ataques de spam
• Clickjacking em páginas sem autenticação e/ou alterações significativas no estado
• Avisos de conteúdo misto
• Ausência de DNSSEC
• Falsificação de conteúdo / injeção de texto
• Ataques de temporização
• Engenharia social
• Phishing
• Cookies não seguros para cookies não confidenciais ou cookies de terceiros
• Vulnerabilidades que exigem uma interação do usuário extremamente improvável
• Vulnerabilidades que exigem acesso físico ao computador do usuário
• Ausência de cabeçalhos de segurança que não levam diretamente a uma vulnerabilidade
• Falta de melhores práticas (exigimos comprovação de uma vulnerabilidade de segurança)
• Relatórios gerados por scanners automatizados sem impacto comprovado
• Ausência de cabeçalhos de segurança sem uma vulnerabilidade comprovada
• Problemas de configuração de SSL/TLS sem uma vulnerabilidade comprovada
• Falta de limitação de taxa
• Self-XSS (requer que a vítima cole o código em seu próprio console)
• CSRF de login/logout
• Vulnerabilidades que exigem navegadores desatualizados ou sem suporte
• Relatórios duplicados ou problemas já conhecidos

Requisitos para envio

Todos os relatórios devem incluir os seguintes elementos, caso contrário não serão analisados:

• URL ou endpoint afetado
• Instruções passo a passo para a reprodução
• Prova de conceito (capturas de tela, vídeo ou código)
• Descrição do impacto na segurança

Não é permitida a realização de varreduras automatizadas sem aprovação prévia por escrito. Todos os testes devem ser realizados manualmente e todos os detalhes do programa de divulgação de vulnerabilidades devem permanecer confidenciais.

Agradecemos aos seguintes pesquisadores de segurança:

• Abin Joseph
• daniel_v
• Ananda Dhakal
• Luiz Viana
• Aman Gupta
• Vipul Sahu
• Hsu Myat Noe
• Tomasz Bartoszewski
• Harry Gertos
• Sathwik Veeramaneni
• Yassine Nafiai
• SIDN SOC
• Burhan Chhotaudepur
• Faizan Nehal
• Aaditya Kumar Sharma
• Syed Ahsan Raza
• Mohammed Eldawody
• Yaniv Shoshani
• Lucas Werkmeister
• Ankit Rathva