Programa de divulgação de vulnerabilidades da Hexagon 

Política  

A segurança dos dados do cliente que são gerenciados pelos produtos da Hexagon é um componente de suporte essencial da Visão e da Missão da Hexagon. Valorizamos a contribuição da comunidade de pesquisa de segurança externa à segurança de nossos produtos. Se você acha que encontrou bugs de segurança em nossos produtos, teremos prazer em resolver esse problema.

Valorizamos as contribuições da comunidade de pesquisa de segurança e reconhecemos a importância de uma abordagem coordenada à divulgação de vulnerabilidades. Se você descobriu uma vulnerabilidade de segurança, recomendamos que nos informe imediatamente. Agradecemos a oportunidade de trabalhar com você para resolver o problema rapidamente.

Aderir aos padrões da indústria é importante para nós, e nosso programa é coberto pela Divulgação de Vulnerabilidade Coordenada, Porto Seguro, Escopo Aberto e Achados Inelegíveis, além de Padrões Detalhados de Plataforma.

Use este link para enviar seu relatório.

Procuramos constantemente melhorar. Se você tiver alguma dúvida sobre nossa segurança ou sugestões sobre como o Programa de divulgação de vulnerabilidades da Hexagon (VDP) poderia ser melhorado, escreva para nós ([email protected]).

Produtos no escopo

Vulnerabilidades de segurança identificadas em propriedades digitais detidas, operadas ou sob controle da Hexagon AB são consideradas no escopo.

Divulgação pública

Acreditamos na transparência em relação à nossa segurança. Por isso, quaisquer vulnerabilidades ou defeitos confirmados descobertos são sempre relatados nos documentos de lançamento do produto

Elegibilidade e divulgação responsável

Para promover a descoberta e a geração de relatórios de vulnerabilidades e aumentar a segurança do usuário, solicitamos que você:

• Compartilhe o problema de segurança conosco detalhadamente;
• Tenha respeito com nossos aplicativos existentes. A distribuição de formulários por meio de scanners de vulnerabilidade automatizados não estão no espírito de divulgação responsável;
• Precisamos de um tempo razoável para responder ao problema, antes de tornar qualquer informação pública;
• Não acesse, nem modifique nossos dados nem os dados de nossos usuários, sem a permissão explícita do proprietário. Interaja apenas com suas próprias contas ou teste contas para fins de pesquisa de segurança;
• Entre em contato conosco imediatamente, caso encontre dados de usuário acidentalmente. Não visualize, altere, salve, armazene, transfira, nem acesse os dados e imediatamente purgue qualquer informação local ao relatar a vulnerabilidade à Hexagon;
• Atue de boa-fé para evitar violações de privacidade, destruição de dados e interrupção ou degradação de nossos serviços (incluindo negação de serviço).
• Caso contrário, cumpra todas as leis aplicáveis.

Relatórios de práticas recomendadas

Para garantir que seu relatório seja o mais eficaz possível e ajudar as equipes de desenvolvimento a avaliar e reproduzir o bug, sugerimos as seguintes práticas recomendadas para o relatório de bugs.

1. Para criar um relatório mais robusto, inclua informações sobre o impacto real e potencial da vulnerabilidade, bem como detalhes de como ela pode ser explorada.
2. Inclua a metodologia que você usou para encontrar o bug e as etapas para reproduzi-lo.
3. Envie seus resultados, apenas depois de ter garantido que seu bug foi verificado.
4. Os envios em inglês são preferidos, mas, no entanto, envie o relatório em seu idioma nativo se não puder enviá-lo em inglês com detalhes suficientes.

Vulnerabilidades fora do escopo

Os seguintes problemas estão fora do escopo do VDP:

• Políticas de senha, e-mail e conta, como verificação de ID de e-mail, redefinição de expiração de link e complexidade de senha.
• Pesquisas que exigem acesso físico aos nossos produtos.
• Cabeçalhos de segurança ausentes que não levam diretamente a uma vulnerabilidade.
• Uso de uma biblioteca vulnerável conhecida (sem evidência de exploração).
• Relatórios de ferramentas ou de varreduras automatizadas.
• Ataques que exigem que o aplicativo invasor tenha permissão para se sobrepor ao nosso aplicativo (por exemplo, toque ou clique de sequestro).
• Presença de atributos de preenchimento automático em formulários da Web.
• Qualquer relatório que discuta como você pode saber se um determinado nome de usuário e endereço de e-mail tem uma conta da Hexagon.
• Qualquer acesso a dados em que o usuário visado precise operar um dispositivo móvel com root.
• Qualquer relatório sobre sequestro de biblioteca de links dinâmicos (DLL) sem demonstrar como ganha novos privilégios.
• Ausência de limitação de taxa, a menos que esteja relacionada à autenticação.
• Os dispositivos (ios, android, aplicativos de desktop) não estão se desvinculando na alteração de senha.

Consequências do cumprimento desta política

Não entraremos com nenhuma ação civil, nem iniciaremos uma reclamação à polícia por violações acidentais e de boa-fé desta política. Consideramos que as atividades realizadas de acordo com esta política constituem conduta "autorizada" nos termos da Lei de Combate à Fraude e ao Abuso de Computadores. Na medida em que suas atividades sejam inconsistentes com certas restrições em nossa Política de uso aceitável, renunciamos a essas restrições, com a finalidade limitada de permitir pesquisas de segurança de acordo com esta política. Nós não apresentaremos uma alegação da Lei de direitos autorais (DMCA) Digital Millennium contra você por contornar as medidas tecnológicas que usamos para proteger os aplicativos no escopo.

Se o seu relato aborda uma vulnerabilidade de um parceiro de negócios da Hexagon, a Hexagon se reserva o direito de compartilhar o seu envio na íntegra, incluindo a sua identidade, com o parceiro de negócios, para ajudar a facilitar os testes e a resolução da vulnerabilidade relatada. Se uma ação legal for iniciada por um terceiro contra você e você tiver cumprido o VDP da Hexagon, a Hexagon tomará medidas para informá-lo de que suas ações foram realizadas em conformidade com esta política.

A Hexagon pode escolher, a seu exclusivo critério, fornecer acesso complementar aos produtos da Hexagon. Este acesso destina-se unicamente à habilitação dos seus testes e pode ser revogado a qualquer momento com ou sem aviso prévio.

Atualmente, a Hexagon não opera um esquema de recompensa Bug Bounty. Todas as notificações feitas à Hexagon de acordo com o Programa de divulgação de vulnerabilidades são feitas de boa-fé e no melhor interesse da comunidade como um todo.