Última atualização em 15 de março de 2021.
Data | Descrição |
Março de 2021 | Publicação da Política de White Hat |
Se você acredita ter encontrado uma vulnerabilidade de segurança na Kobana, nós o(a) encorajamos a nos avisar imediatamente. Investigaremos todas as denúncias legítimas reportadas e faremos o melhor para consertá-las rapidamente. Antes de fazer sua denúncia, por favor, leia atentamente esta página, incluindo nossa política de divulgação de informações com responsabilidade, regras para recompensas e principalmente o que não deve ser denunciado.
Política de divulgação responsável
Se você, ao informar um problema de segurança na Kobana estiver de acordo com as políticas abaixo informadas, nós não daremos entrada em um processo de ação judicial ou faremos uma investigação policial contra você por ter feito a denúncia. Para isso, pedimos que:
Você nos dê um tempo razoável para investigar e mitigar o problema relatado antes de tornar pública qualquer informação ou compartilhá-la com outras pessoas;
Você não interaja com uma conta individual (isso inclui modificar ou acessar dados da conta de um cliente) sem o consentido do proprietário da conta para tais ações;
Você faça um esforço, de boa fé, para evitar violações de privacidade e interrupções para outros clientes, incluindo (mas não limitado) a destruição de dados e interrupção ou degradação dos nossos serviços;
Você não explore o problema de segurança que descobriu por nenhum motivo (isto inclui a demonstração de risco adicional, como tentativa de comprometer dados confidenciais da empresa ou sondagem de problemas adicionais);
Você não viole quaisquer outras leis ou regulamentações.
Programa de recompensa para bugs
Nós reconhecemos e recompensamos pesquisadores de segurança que nos ajudam a manter nossos clientes seguros ao relatar vulnerabilidades nos nossos serviços.
Gratificações monetárias são inteiramente de critério da Kobana, baseadas em risco, impacto e outros fatores. Para se qualificar a uma gratificação, você precisa atender aos requisitos a seguir:
Aderir à Política de divulgação responsável (ver acima);
Relatar um erro de segurança: isso é, identificar a vulnerabilidade nos nossos serviços ou na infraestrutura que cria um risco de segurança ou de privacidade (observe que é a Kobana que determina o risco de um problema e quais erros de software não são problemas de segurança);
O seu relato deve descrever um problema envolvendo um dos produtos ou serviços listados dentro do “Alcance do programa de recompensa para bugs” (veja abaixo);
Nós excluímos especificamente alguns tipos de problemas de segurança potenciais, eles estão listados em “Denúncias não elegíveis e falsos positivos” (veja abaixo).
Envie a sua denúncia pelo nosso e-mail whitehat@kobana.com.br, caso necessário utilize o mesmo e-mail para notificar algum tipo de atualização. Não entre em contato com funcionários diretamente ou por outros canais para falar sobre a denúncia.
Se você, inadvertidamente, causou uma violação ou quebra de privacidade (como acessar dados de conta, configurações de serviço ou outras informações confidenciais) quando estava investigando um problema, não se esqueça de informar isso em sua denúncia.
Por sua vez, vamos seguir estas diretrizes ao avaliar denúncias dentro do nosso programa de recompensa para bugs:
Nós investigamos e respondemos todas as denúncias válidas. Dependendo do volume de denúncias que recebemos, nós daremos prioridade para avaliações com base em risco e outros fatores, portanto pode demorar um pouco para você ser respondido.
No caso de denúncias duplicadas, nós damos a gratificação para a primeira pessoa que enviar um problema (a Kobana determina as denúncias duplicadas e pode não compartilhar detalhes nas outras denúncias). Uma gratificação é paga apenas para uma pessoa.
Reservamo-nos o direito de publicar as denúncias (e as atualizações que as acompanham);
Nós publicamos uma lista de pesquisadores que enviaram denúncias válidas de segurança. Você deve receber uma gratificação para fazer parte dessa lista, mas a sua participação é opcional. Nós reservamos o direito de limitar ou modificar a informação que acompanha o seu nome na lista.
Nós verificamos que todas as gratificações são permitidas pela lei, incluindo (mas não limitado a) sanções comerciais e restrições econômicas brasileiras.
Observe que o uso dos serviços da Kobana, inclusive para fins desse programa, está sujeito aos Termos e Políticas da Kobana. Nós podemos reter comunicações sobre problemas de segurança reportados durante o tempo que considerarmos necessários para o programa e podemos cancelar ou modificar o programa a qualquer momento.
Recompensas adotadas
Nós determinamos as quantias das gratificações tendo como base vários fatores, incluindo (mas não limitado a) impacto, facilidade de exploração e qualidade da denúncia.
A tabela a seguir mostra valores de referência para cada caso de qualificação da denúncia.
Bugs que não comprometem a segurança e privacidade | Não Aplicável |
Acesso a dados privados não protegidos pela LGPD | R$ 500 a R$ 1.000 |
Acesso a dados privados protegidos pela LGPD | R$ 1.000 a R$ 5.000 |
Acesso a todos os dados da Kobana | R$ 5.000 ou mais. |
Você pode doar a gratificação para uma instituição de caridade ou ONG (sujeito à aprovação pela Kobana), nesse caso, nós dobramos o valor da gratificação.
Para que o pagamento seja efetuado, você precisará emitir uma Nota Fiscal de serviço de consultoria em até 10 dias depois da aprovação da Kobana. Sem a Nota Fiscal emitida a tempo não realizaremos o pagamento e nenhuma dívida será adquirida pela Kobana para a sua empresa.
Alcance do programa de recompensa para bugs
Para se qualificar para uma gratificação, denuncie um problema de segurança na Kobana ou em um dos produtos ou aquisições a seguir:
Website (https://www.kobana.com.br)
Aplicação (https://kobana.com.br)
Hospedagem de Boletos (https://bole.to)
Checkout (https://checkout.kobana.com.br)
Observe que os serviços que não são propriedade da Kobana não são qualificados para participar do nosso programa de recompensa para bugs.
Apesar de nos preocuparmos sempre com as vulnerabilidades que afetam os serviços que usamos, não podemos garantir ou divulgar as políticas que se aplicam a serviços de outras empresas.
Denúncias não elegíveis e falsos positivos
Técnicas de engenharia social ou spam;
Ataques de negação de serviço (DDoS);
Inserção de conteúdo. Publicar conteúdo na Kobana é um recurso básico e a inserção de conteúdo (também "falsificação de conteúdo" ou "inserção de HTML") é inelegível, a menos que você possa demonstrar claramente um risco considerável;
Enviar mensagens para qualquer pessoa na Kobana;
Problemas de segurança em sites ou aplicativos de terceiros que fazem integração com a Kobana. Eles não são gerenciados pela Kobana e não se qualificam de acordo com nossas diretrizes de teste de segurança;
Executar scripts em domínios de área restrita. O uso de alert(document.domain) pode ajudar a verificar se o contexto é realmente da *.kobana.com.br.
Atributos de uma boa denúncia
Detalhe as etapas em sua mensagem explicando como reproduzir o erro. Inclua links nos quais você clicou, páginas que você visitou, URLs, identificações de usuário etc. Imagens e vídeos podem ser úteis se você também incluir explicações por escrito.
Descrições claras de quaisquer contas usadas em sua denúncia e as relações entre elas. Para evitar confusão, não use o mesmo nome em várias contas.
Qualidade é melhor que quantidade. Muitas das denúncias mais bem pagas que recebemos tinham apenas algumas linhas com explicações claras e precisas.
Se você enviar um vídeo, leve em consideração estas dicas:
Faça um vídeo curto, mostrando apenas as partes necessárias para demonstrar o erro uma vez (remova ou refaça os erros que podem ocorrer durante a gravação);
Grave em uma resolução na qual o texto e as URLs sejam legíveis (pelo menos 480p; normalmente, 1080p não é necessário);
Forneça comentários ou instruções em suas mensagens ou na descrição do vídeo em vez de digitar na tela durante o vídeo;
Se uma grande quantidade de texto aparecer em seu vídeo, inclua uma cópia em suas mensagens.
Informações e Dúvidas
Se você tem qualquer dúvida sobre esses Termos de Uso ou sobre as práticas adotadas na Kobana, envie um e-mail para whitehat@kobana.com.br.
Fonte: baseado nos termos e políticas de white hat do Facebook.com.