Programa de divulgação de vulnerabilidades da Hexagon
Política
A segurança dos dados do cliente que são gerenciados pelos produtos da Hexagon é um componente de suporte essencial da Visão e da Missão da Hexagon. Damos as boas-vindas à contribuição da comunidade de pesquisa de segurança externa à segurança de nossos Produtos. Se você acha que encontrou bugs de segurança em nossos produtos, teremos prazer em resolver esse problema.
Procuramos constantemente melhorar. Se você tiver alguma dúvida sobre nossa segurança ou sugestões sobre como o Programa de divulgação de vulnerabilidade da Hexagon (VDP) poderia ser melhorado, escreva para nós (information.security@hexagon.com).
Produtos no escopo
Os produtos escolhidos pelas equipes de produtos da Hexagon estarão dentro do escopo. Esses produtos serão listados na lista de seleção de produtos do formulário de relatório. Os produtos não listados serão excluídos do VDP. Produtos não especificamente listados ainda podem receber relatórios de vulnerabilidade usando a categoria Geral da lista de produtos. Os relatórios serão avaliados, embora com base nos esforços razoáveis.
Divulgação pública
Acreditamos na transparência sobre nossa segurança, quaisquer vulnerabilidades/defeitos descobertos válidos são sempre relatados nos documentos de liberação do produto
Elegibilidade e divulgação responsável
Para promover a descoberta e a geração de relatórios de vulnerabilidades e aumentar a segurança do usuário, solicitamos que você:
- Compartilhe o problema de segurança conosco detalhadamente;
- Tenha respeito com nossos aplicativos existentes. A distribuição de formulários por meio de scanners de vulnerabilidade automatizados não estão no espírito de divulgação responsável;
- Precisamos de um tempo razoável para responder ao problema, antes de tornar qualquer informação pública;
- Não acesse, nem modifique nossos dados nem os dados de nossos usuários, sem a permissão explícita do proprietário. Interaja apenas com suas próprias contas ou teste contas para fins de pesquisa de segurança;
- Entre em contato conosco imediatamente, caso encontre dados de usuário acidentalmente. Não visualize, altere, salve, armazene, transfira, nem acesse os dados e imediatamente purgue qualquer informação local ao relatar a vulnerabilidade à Hexagon;
- Aja de boa-fé para evitar violações de privacidade, destruição de dados e interrupção ou degradação de nossos serviços (incluindo negação de serviço).
- Caso contrário, cumpra todas as leis aplicáveis.
Relatórios de práticas recomendadas
Para garantir que seu relatório seja o mais eficaz possível e ajudar as equipes de desenvolvimento a avaliar e reproduzir o bug, sugerimos as seguintes dicas de práticas recomendadas para o relatório de bugs.
- Crie um relatório mais forte ao incluir informações sobre o impacto real e potencial da vulnerabilidade, bem como detalhes de como ela pode ser explorada.
- Inclua a metodologia que você usou para encontrar o bug e as etapas para reproduzi-lo.
- Envie seus resultados, apenas depois de ter garantido que seu bug foi verificado.
- Os envios em inglês são preferidos, mas, no entanto, envie o relatório em seu idioma nativo se não puder enviá-lo em inglês com detalhes suficientes.
Vulnerabilidades fora do escopo
- Os seguintes problemas estão fora do escopo do VDP:
- Políticas de senha, de e-mail e de conta, como verificação de ID de e-mail, redefinição de expiração de link e complexidade de senha.
- Pesquisas que exigem acesso físico aos nossos produtos.
- Cabeçalhos de segurança ausentes que não levam diretamente a uma vulnerabilidade.
- Não adotamos as melhores práticas (exigimos provas de uma vulnerabilidade de segurança).
- Uso de uma biblioteca vulnerável conhecida (sem evidência de exploração).
- Relatórios de ferramentas ou de varreduras automatizadas.
- Ataques que exigem que o aplicativo invasor tenha permissão para se sobrepor ao nosso aplicativo (por exemplo, toque ou clique de sequestro).
- Vulnerabilidades que afetam usuários de navegadores ou plataformas não suportados.
- Engenharia social de funcionários ou contratados da Hexagon.
- Qualquer tentativa física contra a propriedade ou data centers da Hexagon.
- Presença de atributo de preenchimento automático em formulários da Web.
- Sinalizadores de cookies ausentes em cookies não sensíveis.
- Qualquer relatório que discuta como você pode saber se um determinado nome de usuário e endereço de e-mail tem uma conta da Hexagon.
- Qualquer acesso a dados em que o usuário-alvo precise operar um dispositivo móvel enraizado.
- Qualquer relatório sobre sequestro de biblioteca de links dinâmicos (DLL) sem demonstrar como ganha novos privilégios.
- Ausência de limitação de taxa, a menos que esteja relacionada à autenticação.
- Os dispositivos (ios, android, aplicativos de desktop) não estão se desvinculando na alteração de senha.
Consequências do cumprimento desta política
Não entraremos com nenhuma ação civil, nem iniciaremos uma reclamação à polícia por violações acidentais e de boa-fé desta política. Consideramos que as atividades realizadas de acordo com esta política constituem conduta "autorizada" nos termos da Lei de fraude e abuso de computadores. Na medida em que suas atividades sejam inconsistentes com certas restrições em nossa Política de uso aceitável, renunciamos a essas restrições, com a finalidade limitada de permitir pesquisas de segurança de acordo com esta política. Nós não apresentaremos uma alegação da Lei de direitos autorais (DMCA) Digital Millennium contra você por contornar as medidas tecnológicas que usamos para proteger os aplicativos no escopo.
Se o seu relato aborda uma vulnerabilidade de um parceiro de negócios da Hexagon, a Hexagon se reserva o direito de compartilhar o seu envio na íntegra, incluindo a sua identidade, com o parceiro de negócios, para ajudar a facilitar os testes e a resolução da vulnerabilidade relatada. Se uma ação legal for iniciada por um terceiro contra você e você tiver cumprido o VDP da Hexagon, a Hexagon tomará medidas para informá-lo de que suas ações foram realizadas em conformidade com esta política.
A Hexagon pode escolher, a seu exclusivo critério, fornecer acesso complementar aos produtos da Hexagon. Este acesso destina-se unicamente à habilitação dos seus testes e pode ser revogado a qualquer momento com ou sem aviso prévio.
Atualmente, a Hexagon não opera um esquema de recompensa Bug Bounty. Todas as notificações feitas à Hexagon de acordo com o Programa de divulgação de vulnerabilidade são feitas de boa-fé e no melhor interesse da comunidade como um todo.