Programa de divulgação de vulnerabilidades



A segurança dos dados e da comunicação dos usuários é de extrema importância para a Salesflare. Em busca da melhor segurança possível para o nosso serviço, agradecemos a divulgação responsável de qualquer vulnerabilidade que você encontrar na Salesflare. Os princípios da divulgação responsável incluem, mas não se limitam a:


  • Acesse ou exponha somente dados de clientes que sejam seus.
  • Não exfiltrar dados de nossa infraestrutura (incluindo código-fonte, backups de dados, arquivos de configuração).
  • Se você obtiver acesso remoto ao nosso sistema, informe sua descoberta imediatamente. Não tente acessar outros servidores ou elevar o acesso.
  • Evite técnicas de varredura que possam causar degradação do serviço para outros clientes (por exemplo, sobrecarregando o site). Isso inclui o envio de spam para formulários de contato, e-mails de suporte, etc.
  • Mantenha-se dentro das diretrizes de nossos Termos de Serviço.
  • Mantenha os detalhes das vulnerabilidades em segredo até que Salesflare tenha sido notificada e tenha tido um tempo razoável para corrigir a vulnerabilidade.
  • Para se qualificar para uma recompensa, seu envio deve ser aceito como válido pela Salesflare. Usamos as seguintes diretrizes para determinar a validade das solicitações e a recompensa oferecida.

Escopo


  • *salesflare.com

Fora do escopo


  • blogsalesflare.com
  • integraçõessalesflare.com
  • howtosalesflare.com

Requisitos para o envio de bugs


Ao enviar uma vulnerabilidade ou incidente, forneça:


  • A descrição detalhada do problema, a capacidade de exploração e o impacto
  • As etapas reproduzíveis (se aplicável) - nossos engenheiros devem ser capazes de reproduzir a falha de segurança do seu relatório.
  • O ID da equipe Salesflare que você usou

Todos os envios devem fornecer evidências e explicações de todas as etapas necessárias para reproduzir o problema, o que pode incluir:


  • PoC (vídeos, capturas de tela, cargas úteis, solicitações e respostas da Web/API)
  • Configurações de permissões de usuário (ao relatar escalonamento ou abuso de privilégios em uma empresa)
  • Referências e recomendações

Relatórios muito vagos ou pouco claros não se qualificam para receber um prêmio. Os relatórios que incluem explicações claramente escritas e código de trabalho têm maior probabilidade de receber prêmios.


Gravidade


Estamos interessados em vulnerabilidades de segurança que possam ser exploradas para obter acesso aos dados do usuário. Só qualificaremos e recompensaremos uma vulnerabilidade se e somente se o bug puder ser usado com sucesso, sozinho ou em combinação com outra vulnerabilidade relatada, para acessar dados de usuários que não sejam seus. Os "bugs" gerais nunca são vulnerabilidades qualificadas, e qualquer coisa que não seja uma exploração é um "bug" geral. A exploração deve se basear apenas em vulnerabilidades dos sistemas da Salesflare.


Áreas de foco


  • Falhas de autenticação ou autorização
  • Scripting entre sites (XSS)
  • Falsificação de solicitação entre sites (CSRF/XSRF). Isso exclui o CSRF de logout.
  • Exposição de dados confidenciais
  • Bugs de execução de código no lado do servidor

Os seguintes tipos de achados são especificamente excluídos da recompensa ou já são conhecidos:

  • Falhas na adesão às "práticas recomendadas" (por exemplo, cabeçalhos HTTP comuns, expiração de links ou política de senhas)
  • Mensagens de erro descritivas (por exemplo, Stack Traces, erros de aplicativo ou de servidor).
  • Códigos/páginas HTTP 404 ou outros códigos/páginas HTTP não-200.
  • Configuração da infraestrutura corporativa Salesflare (por exemplo, registros SPF do serviço de e-mail)
  • Divulgação de arquivos ou diretórios públicos conhecidos (por exemplo, robots.txt).
  • Percepção de volumes excessivos de e-mails enviados (por exemplo, inundação de e-mails).
  • Vulnerabilidades de negação de serviço (DoS)
  • Possibilidades de enviar links maliciosos para pessoas que você conhece
  • Bugs de segurança em sites de terceiros que se integram à Salesflare
  • Cookies inseguros no site salesflare.com
  • Scripts de conteúdo misto no salesflare.com
  • Vulnerabilidades que exigem que uma vítima em potencial instale um software não padrão ou tome medidas ativas para se tornar suscetível
  • Técnicas de spam ou engenharia social
  • Problemas de clickjacking, a menos que seja fornecida uma exploração que mostre o controle da conta ou a divulgação de recursos confidenciais

Recompensas


Apenas uma recompensa será concedida por vulnerabilidade alta ou crítica.

Se recebermos várias denúncias para a mesma vulnerabilidade, somente a pessoa que oferecer a primeira denúncia clara receberá uma recompensa.

Mantemos a flexibilidade em nosso sistema de recompensas e não temos um valor mínimo/máximo; as recompensas são baseadas na gravidade, no impacto e na qualidade do relatório. As recompensas geralmente estão entre US$ 20 e US$ 80, mas podem ser maiores ou menores.

Para receber uma recompensa, você deve residir em um país que não conste das listas de sanções (por exemplo, Cuba, Irã, Coreia do Norte, Sudão e Síria). Este é um programa discricionário e Salesflare se reserva o direito de cancelar o programa; a decisão de pagar ou não uma recompensa fica a nosso critério.

Os prêmios são pagos por meio do Paypal. Esses serviços cobram uma taxa pelo processamento da transação, que é deduzida do valor do prêmio.


Instruções para criar uma avaliação Salesflare


Qualquer pessoa pode criar uma conta de avaliação acessando: https:salesflare

Com uma conta de avaliação, também é possível criar uma chave de API para enviar solicitações de API. Mais informações podem ser encontradas aqui: https:salesflare

Todas as funcionalidades disponíveis podem ser testadas.


Contato


Envie-nos um e-mail para [email protected] com quaisquer relatórios de vulnerabilidade ou perguntas sobre o programa. Informe cada novo bug em um tópico de e-mail separado.