Segurança

Programa Bug Bounty

A BelHost dá as boas-vindas à divulgação responsável por parte de investigadores de segurança. Analisamos todos os relatórios elegíveis e podemos oferecer recompensas por vulnerabilidades válidas.

Reportar uma Vulnerabilidade Ler as Diretrizes
Nesta página
Canal de reporte
[email protected]

Visão geral

Consideramos a segurança dos nossos sistemas uma prioridade máxima. Nenhum sistema é perfeito e podem sempre existir falhas em qualquer tecnologia. Aguardamos com expectativa trabalhar com investigadores de segurança experientes para proteger os nossos clientes.

Se acredita ter identificado um problema de segurança no nosso produto ou serviço, encorajamo-lo a notificar-nos.

Diretrizes para divulgação responsável

  • Informe-nos o mais rapidamente possível após a descoberta de um potencial problema de segurança, e faremos todos os esforços para o resolver rapidamente.
  • Dê-nos um tempo razoável para resolver o problema antes de qualquer divulgação ao público ou a terceiros.
  • Sem personificação não autorizada: qualquer tentativa de engenharia social de outra parte através da personificação de um funcionário da BelHost, outro investigador ou uma equipa de segurança não será tolerada.
  • Se cumprir todas as condições estabelecidas nestas diretrizes, não tomaremos qualquer ação legal contra si relativamente ao seu reporte.
  • O seu reporte será mantido confidencial. Não partilharemos as suas informações pessoais com terceiros sem consentimento prévio, a não ser que seja necessário para cumprir uma obrigação legal.

Recompensas

Para mostrar o nosso apreço, a BelHost oferece recompensas por reportes de vulnerabilidades de segurança qualificadas. As recompensas podem ser atribuídas como compensação financeira ou merchandising BelHost. O valor da recompensa fica ao critério da BelHost e baseia-se na classificação interna de gravidade da vulnerabilidade divulgada. A recompensa será comunicada após validação pelas nossas equipas internas.

Elegibilidade

Para se qualificar para uma recompensa, deve:

  1. Ser o primeiro a reportar a vulnerabilidade.
  2. Seguir as diretrizes descritas nesta página.
  3. Não divulgar publicamente a vulnerabilidade antes da nossa resolução.
  4. Fornecer uma prova de conceito funcional que explora o problema de segurança.
  5. Usar apenas contas criadas por si e não aceder a dados de outros utilizadores.
  6. Não ser residente de nenhum país incluído na lista de Specially Designated Nationals and Blocked Persons (SDN).
  7. Não ser residente de nenhum país incluído na Lista Consolidada de pessoas, grupos e entidades sujeitos a sanções financeiras da UE.

Exclusões absolutas

As seguintes categorias estão fora do âmbito e geralmente não receberão resposta.

Ataques sociais e físicos
  • Engenharia social (incluindo phishing)
  • Quaisquer tentativas físicas contra propriedade ou centros de dados da BelHost
  • Ataque físico à infraestrutura
Testes de disponibilidade e abuso
  • Negação de serviço
  • Força bruta
  • Reportes de ferramentas e scans automatizados
  • Limites de taxa em falta
Problemas web de baixo sinal
  • CSRF
  • Self-XSS
  • Clickjacking e problemas apenas exploráveis através de clickjacking
  • Falsificação de conteúdo em páginas de erro ou injeção de texto
  • Ataques de homógrafos
  • Redirecionamentos abertos
  • CAPTCHA fraco / bypass de CAPTCHA
  • Problemas relacionados com cache
Descobertas apenas de configuração e cabeçalhos
  • Relacionado com X-Frame-Options
  • Flags de cookie em falta
  • Cabeçalhos de segurança em falta que não levam diretamente a uma vulnerabilidade
  • Ausência de noreferrer, noopener
  • Problemas DKIM/SPF/DMARC
  • Exposição de versão
  • Listagem de diretórios
  • Problemas SSL
  • Método HTTP OPTIONS ativado
  • Divulgação de IP do servidor
Casos extremos de conta e autenticação
  • Tempos limite de sessão de autenticação (as sessões estão vinculadas ao IP com um tempo limite de 1 hora)
  • Reutilização de código TOTP 2FA
  • Enumeração de utilizadores por força bruta
  • Ativação de 2FA sem confirmação por email
  • Verificação de palavra-passe na alteração de email ou 2FA
  • Política de palavras-passe
  • Qualquer ataque que requeira acesso ao computador do utilizador (físico ou remoto)
Software de terceiros e não relacionado
  • Bugs em software de terceiros
  • Vulnerabilidades WordPress
  • Qualquer tipo de vulnerabilidades de browser
  • Manipulação de parâmetros para processadores de pagamento
Devido ao grande número de reportes inválidos, não haverá respostas para reportes que contenham uma vulnerabilidade listada nas nossas exclusões.

Como reportar

Por favor, envie as suas descobertas iniciais para:

[email protected]