Divulgar uma vulnerabilidade
As informações nesta página destinam-se a pesquisadores de segurança interessados em denunciar com responsabilidade vulnerabilidades de segurança à equipe de segurança da Zscaler.
Programa de divulgação de vulnerabilidade
Última atualização: 21 de setembro de 2022
INTRODUÇÃO
A segurança exige transformação, e não há melhor maneira de transformar um programa de segurança do que interagir diretamente com nossos usuários. Essa interação, além de uma forte crença na colaboração com a comunidade de segurança, é fundamental para manter um ambiente seguro para todos os nossos usuários.
Se você acha que descobriu uma vulnerabilidade de segurança em um produto, serviço ou aplicativo da Zscaler, recomendamos que nos informe o quanto antes. Solicitamos que essas denúncias sejam mantidas em sigilo até que solucionemos o problema.
Em troca, trabalharemos para revisar as denúncias e responder em tempo hábil. Nossa parceira de recompensas de bugs, Bugcrowd, entrará em contato com você inicialmente para avaliar seu envio. A Zscaler não recorrerá a recursos judiciais ou de aplicação da lei contra você por identificar problemas de segurança, desde que você (1) cumprir as políticas aqui estabelecidas; (2) cumprir os Termos de Divulgação Padrãoda Bugcrowd; (3) não comprometer a segurança ou a privacidade de nossos usuários; (4) não destruir quaisquer dados confidenciais que você possa ter coletado da Zscaler como parte de sua pesquisa depois que os problemas forem solucionados; e (5) concordar e cumprir com os termos de confidencialidade da Zscaler abaixo.
Confidencialidade
Ao interagir ou participar deste programa e/ou enviar uma vulnerabilidade de segurança à Zscaler, você concorda em cumprir as seguintes disposições de confidencialidade.
“Informações confidenciais” significa (i) todas as informações da Zscaler obtidas durante testes de segurança ou por meio de sua participação no Programa de divulgação de vulnerabilidades da Zscaler, (ii) todas as informações divulgadas a você em conexão com a política de recompensas da Bugcrowd e (ii) todos os envios feitos por você. Você não obterá nenhum direito sobre as informações confidenciais ou propriedade intelectual da Zscaler ao se envolver em qualquer teste ou participar do Programa de divulgação de vulnerabilidades da Zscaler.
As informações confidenciais não incluem informações que (i) estejam ou se tornem publicamente disponíveis sem sua culpa e sem violar estas disposições, (ii) sejam desenvolvidas independentemente, sem uso ou referência às informações confidenciais, ou (iii) sejam ou se tornem conhecidas por você a partir de uma fonte não sujeita a restrições de confidencialidade.
Antes de realizar qualquer teste ou enviar descobertas, você concorda em (i) manter as informações confidenciais em estrita confidencialidade, (ii) proteger essas informações confidenciais contra uso ou divulgação não autorizados, (iii) não divulgar essas informações confidenciais a terceiros, incluindo o público, (iv) não usar tais informações confidenciais para qualquer finalidade fora do escopo de participação do Programa de divulgação de vulnerabilidades da Zscaler, e (v) notificar a Zscaler imediatamente após a descoberta de qualquer perda ou divulgação não autorizada de informações confidenciais. Não obstante o acima exposto, você pode divulgar informações confidenciais da Zscaler para a Zscaler ou para a Bugcrowd por meio do portal de parceiros da Bugcrowd.
Agradecemos por sua ajuda!
Escopo e regras do programa de vulnerabilidades
No escopo
Estamos especialmente interessados em ouvir sobre as seguintes categorias de vulnerabilidade:
- Exposição de dados sigilosos — armazenamento de cross-site scripting (XSS), injeção de SQL (SQLi), etc.
- Problemas relacionados à autenticação ou gerenciamento de sessões
- Execução de código remoto
- Vulnerabilidades particularmente inteligentes ou problemas isolados que não se enquadram em categorias explícitas — mostre-nos sua habilidade!
Fora do escopo
Você deve evitar as seguintes categorias de vulnerabilidade, que estão fora do escopo do nosso programa de divulgação responsável:
- Negação de serviço (DoS) — por meio de tráfego de rede, esgotamento de recursos ou outros métodos
- Enumeração de usuários
- Problemas presentes apenas em navegadores/plug-ins antigos ou em navegadores com software no fim de sua vida útil
- Phishing ou engenharia social com funcionários, usuários ou clientes da Zscaler
- Sistemas ou problemas relacionados à tecnologia de terceiros usada pela Zscaler
- Divulgação de arquivos públicos conhecidos e outras divulgações de informações que não sejam um risco material (por exemplo, robots.txt)
- Qualquer ataque ou vulnerabilidade que dependa do computador de um usuário estar comprometido antes
É esperado que você se envolva em pesquisas de segurança com responsabilidade. Por exemplo, se você descobrir uma senha ou chave exposta publicamente, não deverá usá-la para testar a extensão do acesso que ela concede ou para baixar ou exfiltrar dados e provar que ela está ativa. Da mesma forma, se você descobrir um ataque de injeção de SQL bem-sucedido, espera-se que você não explore a vulnerabilidade além das etapas iniciais necessárias para demonstrar sua prova de conceito.
A exfiltração ou download excessivo de dados da Zscaler ou a exigência de pagamento em troca da destruição de dados da Zscaler serão considerados fora do escopo deste programa, e a Zscaler reservará todos os seus direitos, recursos e ações para proteger a si mesma e seus usuários.
Recompensas de vulnerabilidades
Se sua denúncia de vulnerabilidade afetar um produto ou serviço dentro do escopo, você poderá receber uma recompensa. Se você for pesquisador da Bugcrowd, poderá reivindicar seu envio abaixo para obter pontos kudos. Se tiver interesse em nos ajudar de maneira mais dedicada como pesquisador de segurança no nosso programa privado, entre em contato em [email protected] com sua solicitação e justificativa.
A Zscaler mantém critérios exclusivos para determinar quais envios são considerados elegíveis para receber recompensas.
Denunciar uma vulnerabilidade de segurança
Use nosso formulário para denunciar vulnerabilidades de segurança à Zscaler por meio de nosso portal de parceiros da Bugcrowd. A Zscaler geralmente classifica as vulnerabilidades com base na pontuação do CVSS.