Política de divulgação de vulnerabilidades
A equipe de Segurança Zoom está comprometida em proteger os nossos usuários e seus dados. Acreditamos que a comunidade de pesquisa de segurança independente é um contribuidor fundamental para a segurança da Internet e agradecemos por relatórios de possíveis problemas de segurança.
Esta política fornece diretrizes para que os pesquisadores de segurança conduzam pesquisas éticas e coordenem a divulgação de vulnerabilidades de segurança para a Zoom.
Desenvolvemos esta política para refletir os nossos valores e manter o nosso senso de responsabilidade para com os pesquisadores de segurança que compartilham seu conhecimento conosco. Incentivamos os pesquisadores de segurança a relatar possíveis vulnerabilidades de segurança que descobriram para que possamos corrigi-las e manter nossos usuários protegidos.
Este programa está hospedado no HackerOne e destina-se apenas à divulgação coordenada de possíveis vulnerabilidades de segurança de software.
Regras do programa
-
Notifique-nos assim que você descobrir uma vulnerabilidade de segurança em potencial. Não tente provar a sua vulnerabilidade por conta própria.
- Use ou acesse apenas contas e informações que pertençam a você.
- Não destrua ou modifique dados que não sejam seus.
- Não reduza o desempenho dos produtos e serviços Zoom ou dos nossos usuários.
- Não execute ataques de engenharia social, físicos ou de negação de serviço contra colaboradores, locais ou ativos da Zoom.
- Siga as diretrizes de divulgação do HackerOne, esta Política de divulgação de vulnerabilidade e todas as leis aplicáveis.
Escopo
Esta política se aplica aos produtos, serviços e sistemas da Zoom. Sempre verifique de quem são os ativos que você está testando durante a pesquisa.
Relate os problemas do Keybase ao programa de prêmio de bug dedicado no HackerOne.
Vulnerabilidades encontradas em sistemas de fornecedores estão fora do escopo desta política e devem ser relatadas diretamente ao fornecedor por meio de seus próprios programas de divulgação.
Se você não tiver certeza se um sistema está no escopo ou se precisar de ajuda para relatar uma descoberta a um fornecedor, entre em contato conosco em security@zoom.us. Estamos aqui para ajudar!
Isenção de responsabilidade
Quaisquer atividades conduzidas de maneira consistente com esta política serão consideradas conduta autorizada, e não moveremos nenhuma ação legal contra você. Se uma ação legal for ajuizada por um terceiro contra você em relação às atividades conduzidas de acordo com esta política, tomaremos medidas para divulgar que suas ações foram conduzidas em conformidade com esta política.
Vulnerabilidades fora do escopo
- Ataques que requerem um MITM ou acesso físico ao dispositivo de um usuário.
- Bibliotecas vulneráveis conhecidas sem uma prova de conceito funcional.
- Clickjacking em páginas sem ações confidenciais.
- Falsificação de solicitação entre sites (CSRF) em formulários não autenticados ou sem ações confidenciais.
- Injeção de valores separados por vírgula (CSV) sem demonstrar vulnerabilidade.
- Configuração SSL/TLS que não siga as práticas recomendadas.
- Qualquer atividade que possa levar à interrupção do nosso serviço (DoS).
- Problemas de spoofing de conteúdo e injeção de texto sem mostrar um vetor de ataque/sem ser capaz de modificar o HTML/CSS.
- Limitação de taxa ou problemas de força bruta em pontos de extremidade sem autenticação.
- Não usar as práticas recomendadas na Política de segurança de conteúdo.
- HttpOnly ausente ou alerta de segurança nos cookies.
- Não seguir as práticas recomendadas de e-mail (registros SPF/DKIM/DMARC inválidos, incompletos ou ausentes, etc.).
- Vulnerabilidades que afetam apenas os usuários de navegadores desatualizados ou sem patch (menos de duas versões estáveis anteriores à última versão estável lançada).
- Divulgação de versão de software/problemas de identificação de banner/mensagens de erro descritivas ou cabeçalhos (por exemplo, rastreamentos de pilha, erros de aplicativo ou servidor).
- Vulnerabilidades públicas de dia zero que tiveram um patch oficial por menos de um mês serão concedidas caso a caso.
- Tabnabbing.
- Redirecionamento aberto, a menos que um impacto de segurança adicional possa ser demonstrado.
Como relatar uma vulnerabilidade
Aceitamos e nos comunicamos sobre possíveis relatórios de vulnerabilidade de segurança no HackerOne.
Confirmaremos o recebimento do seu relatório em um dia útil.
O que gostaríamos que você nos fornecesse
Para nos ajudar a fazer a triagem e corrigir possíveis descobertas, um bom relatório de vulnerabilidade deve:
- Descrever a vulnerabilidade, onde ela ocorre e o impacto no mundo real.
- Oferecer uma descrição detalhada das etapas necessárias para reproduzir a vulnerabilidade (pontos de contato, capturas de tela e vídeos são úteis).
- Incluir uma vulnerabilidade por relatório (a menos que estejam em uma cadeia de ataques).
- Não relatar os resultados da verificação automatizada sem prova de explorabilidade.
O que você pode esperar de nós
Quando você opta por compartilhar suas informações de contato conosco, nós nos comprometemos a trabalhar com você da forma mais aberta e rápida possível.
- Confirmaremos o recebimento do seu relatório em um dia útil.
- Enviaremos a você uma confirmação da existência da vulnerabilidade e seremos o mais transparentes possível sobre o processo de correção, incluindo problemas ou desafios que possam atrasar a resolução.
- Manteremos um diálogo aberto para discutir as questões.
Elegibilidade
O programa de prêmio de bug
da Zoom incentiva indivíduos qualificados a enviar relatórios de vulnerabilidades que detalham a identificação e a exploração de bugs em certos produtos e serviços “dentro do escopo”. Em alguns casos, a Zoom pode conceder prêmios/recompensas monetárias ao pesquisador de segurança que enviou o relatório. Embora sejamos gratos a todos os relatórios recebidos, apenas os pesquisadores que atendem aos seguintes critérios são qualificados para receber pagamentos de recompensas:
- Você deve ser o primeiro pesquisador a enviar um relatório sobre uma vulnerabilidade específica.
- Você deve ter identificado a vulnerabilidade pessoalmente ou enquanto trabalhava como parte de uma equipe de pesquisadores que se qualificam para o programa de prêmio de bug da Zoom.
- Você não pode ser funcionário da Zoom, suas subsidiárias ou entidades relacionadas atualmente, nem ter trabalhado para nós nos últimos 12 meses.
- Você deve cumprir esta política ao descobrir vulnerabilidades e ao enviar um relatório de vulnerabilidade.
- Não deve haver nenhum motivo pelo qual a Zoom seja legalmente proibida de recompensar você financeiramente.
Outros Termos e Condições
Sua participação no programa de prêmio de bug da Zoom não cria nenhum tipo de vínculo empregatício ou parceria entre você e a Zoom. Você não pode se apresentar como funcionário da Zoom ou alguém que seja afiliado de alguma forma à Zoom. Você deve cumprir todas as leis aplicáveis em relação à sua participação neste programa. Você é responsável por quaisquer impostos aplicáveis associados a qualquer prêmio/recompensa que receber. Os relatórios de vulnerabilidades recebidos antes do lançamento deste programa não são elegíveis para prêmios e não podem ser reenviados para recebimento de prêmios. Você não pode utilizar nenhum logotipo, marca comercial ou marca de serviço da Zoom sem autorização por escrito da Zoom. A Zoom reserva-se o direito de modificar esta política a qualquer momento e sem notificação prévia, publicando uma versão atualizada deste documento. A Zoom reserva-se o direito de encerrar este programa a qualquer momento e sem aviso prévio.
Propriedade Intelectual
A participação no programa de prêmio de bug da Zoom não concede nenhum direito de propriedade intelectual, produto ou serviço da Zoom a você nem a qualquer outro terceiro. Todos os direitos não concedidos de outra forma nesta política são expressamente reservados pela Zoom. Independentemente da concessão de uma recompensa pelo envio de um relatório, você atribui à Zoom todos os direitos, participação e interesses, incluindo todos os direitos de propriedade intelectual de todos os relatórios de vulnerabilidades enviados. Você também declara que tem o direito de atribuir todos esses direitos, participação e interesses à Zoom quanto aos envios e que sua participação no programa de prêmio de bug da Zoom não viola nenhum acordo que você possa ter com qualquer outro terceiro, como seu empregador.