DE
A Wingify leva a segurança dos seus sistemas a sério e valoriza a comunidade de segurança. A divulgação responsável de vulnerabilidades de segurança ajuda a Wingify a garantir a segurança e a privacidade dos seus usuários.
Orientações
A Wingify exige que todos os pesquisadores:
- Envidar todos os esforços para evitar violações de privacidade, degradação da experiência do usuário, interrupção dos sistemas de produção e destruição de dados durante os testes de segurança;
- Realizar pesquisas apenas dentro do escopo estabelecido abaixo;
- Usar os canais de comunicação identificados para relatar informações de vulnerabilidade para nós; e
- Qualquer informação que você receba ou colete sobre a Wingify, seus Clientes ou qualquer um dos seus visitantes, colaboradores ou agentes em conexão com esta política (“Informações Confidenciais”) deve ser mantida em sigilo. Você não deve usar, divulgar, publicar ou distribuir tais Informações Confidenciais ou os detalhes da vulnerabilidade, sem a autorização prévia por escrito da Wingify.
Se você seguir estas orientações ao relatar um problema à Wingify. A Wingify se compromete a:
- Não buscar ou apoiar qualquer ação legal relacionada à sua pesquisa;
- Trabalhar com você para entender e solucionar o problema depressa (incluindo uma confirmação inicial do seu relatório dentro de 72 horas úteis após o envio); e
- Reconhecer sua contribuição no nosso Security Researcher Hall of Fame (atualmente em construção), se você for a primeira pessoa a relatar o problema e fizermos uma alteração de código ou configuração com base no problema.
Escopo
- vwo.com
- app.vwo.com
Fora do escopo
Quaisquer serviços hospedados por provedores e serviços de terceiros estão excluídos do escopo.
No interesse da segurança dos usuários da Wingify, da equipe, da Internet em geral e de você como pesquisador de segurança, os seguintes tipos de teste estão excluídos do escopo:
- Negação de serviço
- Spam
- Engenharia social (incluindo phishing) de colaboradores ou contratados da VWO
- Quaisquer tentativas físicas contra a propriedade da VWO ou data centers
- Falsificação de conteúdo/injeção de texto
- Auto-XSS [para ser válido, os problemas de script entre sites devem ser exploráveis em tipos refletidos, armazenados ou baseados em DOM]
- Sair e outras instâncias de falsificação de solicitação entre sites de baixa gravidade
- Redirecionamentos abertos com baixo impacto de segurança (exceções são aqueles casos em que o impacto é maior, como roubar tokens oauth)
- Cabeçalhos de segurança com http ausente
- Sinalizadores de cookies ausentes em cookies não sensíveis
- Políticas de recuperação de senha e conta, como expiração de link de redefinição ou complexidade da senha
- Registros de SPF (Sender Policy Framework) inválidos ou ausentes (SPF/DKIM incompleto ou ausente)
- Práticas recomendadas de SSL/TLS
- Clickjacking/correção de interface do usuário sem impacto prático na segurança
- Enumeração de nome de usuário/e-mail por meio de mensagens de erro da Página de login ou da página Esqueci a senha
Coisas que a Wingify não quer receber
- Informações pessoalmente identificáveis (PII)
- Dados do titular do cartão de crédito
Como relatar uma vulnerabilidade de segurança?
Se você acredita ter encontrado uma vulnerabilidade de segurança em um dos produtos ou plataformas da Wingify, envie uma mensagem para o e-mail security@wingify.com. Inclua os seguintes detalhes no seu relatório:
- Descrição da localização e potencial impacto da vulnerabilidade;
- Uma descrição detalhada das etapas necessárias para reproduzir a vulnerabilidade (scripts de POC, capturas de tela simples e compactadas são úteis para nós); e
- Seu nome/apelido e um link para reconhecimento no nosso Hall of Fame.
Se quiser criptografar as informações, use a nossa chave PGP.
Hall of Fame
Na Wingify, usamos o nosso programa Hall of Fame para reconhecer pessoas que compartilharam com responsabilidade uma ou mais vulnerabilidades de segurança nos nossos produtos, o que nos permite atender melhor nossos clientes. Para mais informações, consulte Security Hall of Fame.
