Início / Relatório de recompensas por bugs

Relatório de recompensas por bugs

Relatório de recompensas por bugs

A Bentley está comprometida em manter os dados de nossos usuários seguros e protegidos e ser transparente sobre a maneira como fazemos isso. Nossos padrões e certificações robustas de privacidade e proteção de dados, segurança e conformidade atestam isso.

Diretrizes do programa de divulgação responsável da Bentley Systems

At Bentley Systems, we take the security of our systems and products seriously, and we value the security community. The disclosure of security vulnerabilities helps us ensure the security and privacy of our users. 

1. Diretrizes Gerais

A Bentley Systems exige que todos os pesquisadores

  • Evitem violações de privacidade, degradação da experiência do usuário, interrupção dos sistemas de produção e destruição de dados durante os testes de segurança.
  • Realizem pesquisas apenas dentro do escopo definido abaixo.
  • Usem os canais de comunicação definidos abaixo para nos relatar informações de vulnerabilidade.
  • Mantenham as informações sobre quaisquer vulnerabilidades que você descobriu confidenciais entre você e a Bentley Systems até que sejam corrigidas.
Se você seguir essas diretrizes ao nos relatar um problema, nós nos comprometemos
 
  • Não exercer ou apoiar qualquer ação legal relacionada à sua pesquisa.
  • Para trabalhar com você, e para entender e resolver o problema rapidamente.

2. Código de Conduta e Responsabilidades Legais

Ao conduzir pesquisas de vulnerabilidade de acordo com esta política, consideramos que esta pesquisa é

  • Autorizada em conformidade com a Lei de Abuso e Fraude de Computador (CFAA) (ou leis estaduais semelhantes), e não iniciaremos ou apoiaremos ações legais contra você por violações acidentais e de boa fé desta política.
  • Isenta da Lei de Direitos Autorais do Milênio Digital (DMCA - Digital Millennium Copyright Act), e não faremos uma reclamação contra você por contornar os controles de tecnologia.
  • Isenta de restrições em nossos Termos e Condições que possam interferir na realização de pesquisas de segurança, e renunciamos a essas restrições de forma limitada para o trabalho realizado sob esta política.
  • Legal, útil para a segurança geral da Internet e conduzida de boa fé.

Espera-se que você, como sempre, cumpra todas as leis aplicáveis. Se, a qualquer momento, você tiver dúvidas ou não tiver certeza se sua pesquisa de segurança é consistente com esta política, envie um relatório por meio de um de nossos canais de comunicação definidos abaixo antes de prosseguir.

3. Escopo / Fora do escopo

EscopoFora do escopo
  • Todos os subdomínios _.bentley.com
  • Todos os produtos de desktop da Bentley Systems (somente Edição CONNECT e posterior)
  • Todos os aplicativos móveis da Bentley Systems
  • Todos os aplicativos e serviços de nuvem da Bentley
  • All Bentley Open-Source Projects (including imodeljs.org)
  • Infraestrutura da Bentley Systems (VPN, Mail Server, SharePoint, Skype, etc.)
  • Descobertas de testes físicos, como acesso ao escritório (por exemplo, portas abertas, utilização não autorizada)
  • Descobertas derivadas principalmente da engenharia social (por exemplo, phishing, vishing)
  • Descobertas de aplicações ou sistemas não listados na seção 'Escopo'
  • Quaisquer serviços hospedados por provedores e serviços terceirizados (3-party services)
  • https://www.plaxis.ru

4. Vulnerabilidades elegíveis / Exclusões

Vulnerabilidades elegíveisExclusões
  • Execução remota de código
  • Sequestro de DLL
  • Injeção SQL
  • Cross-Site Scripting (XSS)
  • Identificação e autenticação
  • Referência de objeto direto inseguro (Insecure direct object reference - IDOR)
  • Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF)
  • Passagem de diretório
  • Exposição de dados confidenciais
  • Configuração incorreta da sessão
  • Broken Access control (Privilege Escalation)
  • Configuração incorreta de segurança
  • Compartilhamento de recursos entre origens (Cross-Origin resource sharing - CORS)
  • Redirecionamento aberto
  • Aquisição de subdomínio*
  • Problemas de lógica de negócios
  • Injeção de hiperlink
  • Problemas de imprensa
  • DDoS
  • DoS, and application-level DoS (unless the response is asymmetrical compared to the initial request)
  • Bugs lançados publicamente em software de Internet no prazo de 15 dias após sua divulgação
  • Self-XSS (exigimos evidências de como o XSS pode ser usado para atacar outro usuário)
  • Opções relacionadas de X-Frame (clickjacking)
  • Injeção de cabeçalho (a menos que você possa mostrar como eles podem levar ao roubo de dados do usuário)
  • Problemas que não são exploráveis, mas levam a travamentos, rastreamento de pilha e vazamento de informações semelhantes ou problemas de estabilidade.
  • Exposição da versão (a menos que você forneça uma PoC de execução de exploit).
  • Algo que exija navegadores, plataformas ou criptografia desatualizados (ou seja, TLS BEAST, POODLE, etc.)
  • Spam ou técnicas de engenharia social, incluindo problemas de SPF e DKIM
  • Rate limit vulnerability not on a login functionality (unless a valid exploit PoC provided)
  • O arquivo XMLRPC.php está ativado, levando a um ataque DoS
  • Sinalizadores de cookies ausentes em cookies não confidenciais
  • Cabeçalhos de segurança ausentes que não levam diretamente a uma vulnerabilidade (a menos que você forneça uma PoC)
  • Anything from an automated scan
  • Anything that is public by default (e.g. public keys, config files without sensitive information, etc.)
  • Anything not under Bentley Systems control (e.g. Google Analytics, etc.)
  • Questões teóricas que carecem de severidade prática
  • Bugs de interface de usuário e de experiência do usuário, e erros de ortografia
  • Credentials found at breach forums like [https://breachforums.st, https://phonebook.cz] etc.
  • CAA certificate missing
  • User enumeration in WP, when only a few Bentley employees, who posted on the website, are exposed

*Informe apenas depois de ter um PoC na forma de duas capturas de tela com registros de data/hora e um subdomínio. Essas capturas de tela devem provar que o subdomínio estava livre por pelo menos uma hora. As ferramentas de verificação geralmente detectam o curto período de tempo enquanto as alterações no subdomínio estão sendo executadas, o que pode parecer uma vulnerabilidade, mas não é: o registro DNS é excluído logo depois. O envio das capturas de tela evitará relatórios de falsas vulnerabilidades, economizando tempo para você e nossa equipe. 

Relatórios com PoC parcial (uma prova do registro de data/hora ou nenhum) não serão tratados como um primeiro relatório. 

NB! A aquisição real do subdomínio relatado como PoC é proibida. 

5. Como relatar

Se você acredita ter encontrado uma vulnerabilidade de segurança em um de nossos produtos ou plataformas, preencha o formulário nesta página. 

A good practice is to think whether the discovered vulnerability puts at risk:

  • Bentley Systems clients’ information.
  • Bentley Systems software.
  • Bentley Systems reputation.

Certifique-se de ter incluído as seguintes informações:

  • Descrição detalhada da vulnerabilidade contendo informações como URL, solicitação/resposta HTTP completa e tipo de vulnerabilidade.
  • Information necessary to reproduce the issue.
  • Proof of concept including practical severity and attack scenario, indication of a potential risk only is hard to evaluate and usually such report is not approved.
  • If applicable, a screenshot and/or video of the vulnerability.
  • Informações de contato, nome, e-mail, número de telefone, localização. Envios sem essas informações não serão considerados.
  • IMPORTANT NOTE. You may only make the initial submission through the form. If you have any questions not mentioned in a form, please e-mail us at [email protected].

6. Regras de engajamento

  • O DoS é estritamente proibido.
  • Qualquer forma de força bruta de credenciais é estritamente proibida.
  • É proibida a divulgação pública de uma vulnerabilidade relatada antes de corrigida.
  • Você não pode destruir ou degradar nosso desempenho ou violar a privacidade ou integridade de nossos usuários e seus dados.
  • A exploração de vulnerabilidades (que não sejam uma PoC genérica) é estritamente proibida e será processada de acordo com a lei aplicável.
  • Se uma vulnerabilidade fornecer acesso não intencional aos dados, você deve
    • Limitar a quantidade de dados que você acessa ao mínimo necessário para demonstrar efetivamente uma Prova de Conceito; e
    • Parar de testar e
    • Enviar um relatório imediatamente se encontrar quaisquer dados do usuário durante o teste, como Informações de identificação pessoal (PII), Informações pessoais de saúde (PHI), dados de cartão de crédito ou informações
      proprietárias.
  • A Bentley não responderá por extorsão ou outros atos criminosos e coercivos (por exemplo, demandas de pagamento adiantado em troca de não explorar uma vulnerabilidade encontrada.

7. Divulgação pública

A menos que informado de outra forma por nossa equipe de que a vulnerabilidade foi resolvida, retenha a divulgação pública da vulnerabilidade por 90 dias. Não fazer isso resultará em ação legal.

8. Duplicações

  • Only the first researcher to report an issue will be entitled for a reward.
  • The reports of the same issue in different environments are not rewarded and closed as duplicates. (e.g. dev-*-bentley.com, qa- dev-*-bentley.com, prod- dev-*-bentley.com) 
  • The reports of the same issue in different deployment regions are not rewarded and closed as duplicates. (e.g. *.us.bentley.com, *.eus-bentley.com, *.in.-*-bentley.com)
  • Multiple instances of the same issue will only be compensated to a max of 3x the reward sum. (e.g. expires SSL certificate on 25 domain and subdomains will count 3×100 USD, and not 25×100 USD)

9. Triagem de vulnerabilidades

Assim que seu envio for recebido:
  • A vulnerabilidade relatada será analisada.
  • You will be informed if the issue is closed without a reward. We do not send a detailed explanation of the resolution.
  • If we determine the submission is valid and meets the requirements of this policy, you may receive a reward after the fix is implemented. Our commitment is to reward your efforts within 90 days.

10. Remuneração

Exemplos de VulnerabilidadeFaixa de preço (USD)**
Controle de acesso Brocken (escalonamento de privilégios)250-450
Problemas de lógica de negócios100-300
Compartilhamento de recursos entre origens (CORS)100-200
Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF)150-250
Cross-Site Scripting (XSS)100-200
Sequestro de DLL50
Injeção de hiperlink50
Identificação e autenticação250-450
Referência de objeto direto inseguro (IDOR)250-450
Redirecionamento aberto50-150
Outros0-500
Execução remota de código600
Configuração incorreta de segurança50-250
Exposição de dados confidenciais50-200
Secrets leak200-500
Configuração incorreta da sessão50-200
Injeção SQL250-500
 

NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following: 

  • report was submitted by current of former employee of Bentley Systems
  • report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
  • report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
  • report was submitted by the employee of the company that is a Bentley System’s service provider.
  • report was submitted by an individual residing in a country that is currently subject to international sanctions.
  • Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.

**Observe que várias instâncias do mesmo problema só serão remuneradas até um máximo de 3x o preço.

**Relatórios de um problema em diferentes ambientes do produto (dev-, qa-, prod-) serão contados como um.

Reservamo-nos o direito de alterar esta política a qualquer momento e por qualquer motivo, e não podemos garantir remuneração por todos os relatórios. A remuneração é fornecida apenas através do PayPal. 

IMPORTANTE. Certifique-se de enviar apenas um endereço válido do PayPal: não poderemos considerar endereços diferentes do original para pagamento. Se a transação falhar por qualquer motivo (ou seja, PayPal recusa a transação; o banco receptor não pode aceitar o pagamento; limite máximo de valor for atingido, aceitação de pagamentos apenas através do site ou outras instruções, etc.), o pagamento será cancelado e não será reenviado.

A Bentley Systems reserva-se o direito de retirar o Programa de Divulgação Responsável e seu sistema de compensação a qualquer momento, sem aviso prévio.

Registre um relatório

Índice

A Bentley Systems exige que todos os pesquisadores

  • Evitem violações de privacidade, degradação da experiência do usuário, interrupção dos sistemas de produção e destruição de dados durante os testes de segurança.
  • Realizem pesquisas apenas dentro do escopo definido abaixo.
  • Usem os canais de comunicação definidos abaixo para nos relatar informações de vulnerabilidade.
  • Mantenham as informações sobre quaisquer vulnerabilidades que você descobriu confidenciais entre você e a Bentley Systems até que sejam corrigidas.
Se você seguir essas diretrizes ao nos relatar um problema, nós nos comprometemos
 
  • Não exercer ou apoiar qualquer ação legal relacionada à sua pesquisa.
  • Para trabalhar com você, e para entender e resolver o problema rapidamente.

Ao conduzir pesquisas de vulnerabilidade de acordo com esta política, consideramos que esta pesquisa é

  • Autorizada em conformidade com a Lei de Abuso e Fraude de Computador (CFAA) (ou leis estaduais semelhantes), e não iniciaremos ou apoiaremos ações legais contra você por violações acidentais e de boa fé desta política.
  • Isenta da Lei de Direitos Autorais do Milênio Digital (DMCA - Digital Millennium Copyright Act), e não faremos uma reclamação contra você por contornar os controles de tecnologia.
  • Isenta de restrições em nossos Termos e Condições que possam interferir na realização de pesquisas de segurança, e renunciamos a essas restrições de forma limitada para o trabalho realizado sob esta política.
  • Legal, útil para a segurança geral da Internet e conduzida de boa fé.

Espera-se que você, como sempre, cumpra todas as leis aplicáveis. Se, a qualquer momento, você tiver dúvidas ou não tiver certeza se sua pesquisa de segurança é consistente com esta política, envie um relatório por meio de um de nossos canais de comunicação definidos abaixo antes de prosseguir.

Escopo
  • Todos os subdomínios _.bentley.com
  • Todos os produtos de desktop da Bentley Systems (somente Edição CONNECT e posterior)
  • Todos os aplicativos móveis da Bentley Systems
  • Todos os aplicativos e serviços de nuvem da Bentley
  • Todos os projetos de código aberto da Bentley (incluindo imodeljs.org)
Fora do escopo
Vulnerabilidades elegíveis
  • Controle de acesso Brocken (escalonamento de privilégios)
  • Problemas de lógica de negócios
  • Compartilhamento de recursos entre origens (Cross-Origin resource sharing - CORS)
  • Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF)
  • Cross-Site Scripting (XSS)
  • Passagem de diretório
  • Sequestro de DLL
  • Injeção de hiperlink
  • Identificação e autenticação
  • Referência de objeto direto inseguro (Insecure direct object reference - IDOR)
  • Redirecionamento aberto
  • Outros
  • Execução remota de código
  • Configuração incorreta de segurança
  • Exposição de dados confidenciais
  • Configuração incorreta da sessão
  • Injeção SQL
  • Aquisição de subdomínio*
  • Problemas de imprensa
Exclusões
  • Bugs lançados publicamente em software de Internet no prazo de 15 dias após sua divulgação
  • Spam ou técnicas de engenharia social, incluindo problemas de SPF e DKIM
  • Self-XSS (exigimos evidências de como o XSS pode ser usado para atacar outro usuário)
  • Opções relacionadas de X-Frame (clickjacking)
  • Vulnerabilidade de limite de taxa (a menos que uma PoC de exploit válida seja fornecida)
  • O arquivo XMLRPC.php está ativado, levando a um ataque DoS
  • Sinalizadores de cookies ausentes em cookies não confidenciais
  • Cabeçalhos de segurança ausentes que não levam diretamente a uma vulnerabilidade (a menos que você forneça uma PoC)
  • Injeção de cabeçalho (a menos que você possa mostrar como eles podem levar ao roubo de dados do usuário)
  • Exposição da versão (a menos que você forneça uma PoC de execução de exploit).
  • Problemas que não são exploráveis, mas levam a travamentos, rastreamento de pilha e vazamento de informações semelhantes ou problemas de estabilidade.
  • Negação de serviço
  • Algo que exija navegadores, plataformas ou criptografia desatualizados (ou seja, TLS BEAST, POODLE, etc.)
  • Algo advindo de uma varredura automatizada, que já seja público ou que não esteja sob o controle da Bentley Systems (por exemplo, Google Analytics, etc.)
  • Questões teóricas que carecem de severidade prática

*Informe apenas depois de ter um PoC na forma de duas capturas de tela com registros de data/hora e um subdomínio. Essas capturas de tela devem provar que o subdomínio estava livre por pelo menos uma hora. As ferramentas de verificação geralmente detectam o curto período de tempo enquanto as alterações no subdomínio estão sendo executadas, o que pode parecer uma vulnerabilidade, mas não é: o registro DNS é excluído logo depois. O envio das capturas de tela evitará relatórios de falsas vulnerabilidades, economizando tempo para você e nossa equipe.

Relatórios com PoC parcial (uma prova do registro de data/hora ou nenhum) não serão tratados como um primeiro relatório.

NB! A aquisição real do subdomínio relatado como PoC é proibida.

Se você acredita ter encontrado uma vulnerabilidade de segurança em um de nossos produtos ou plataformas, preencha o formulário nesta página.

Certifique-se de ter incluído as seguintes informações:

  • Descrição detalhada da vulnerabilidade contendo informações como URL, solicitação/resposta HTTP completa e tipo de vulnerabilidade.
  • Informações necessárias para reproduzir o problema.
  • Se aplicável, uma captura de tela e/ou vídeo da vulnerabilidade.
  • Informações de contato, nome, e-mail, número de telefone, localização. Envios sem essas informações não serão considerados.
  • NOTA IMPORTANTE. Você só pode fazer o envio inicial através do formulário. Se você tiver alguma dúvida não mencionada no formulário, envie um e-mail para [e-mail protegido].
  • O DoS é estritamente proibido.
  • Qualquer forma de força bruta de credenciais é estritamente proibida.
  • É proibida a divulgação pública de uma vulnerabilidade relatada antes de corrigida.
  • Você não pode destruir ou degradar nosso desempenho ou violar a privacidade ou integridade de nossos usuários e seus dados.
  • A exploração de vulnerabilidades (que não sejam uma PoC genérica) é estritamente proibida e será processada de acordo com a lei aplicável.
  • Se uma vulnerabilidade fornecer acesso não intencional aos dados, você deve
    • Limitar a quantidade de dados que você acessa ao mínimo necessário para demonstrar efetivamente uma Prova de Conceito; e
    • Parar de testar e
    • Enviar um relatório imediatamente se encontrar quaisquer dados do usuário durante o teste, como Informações de identificação pessoal (PII), Informações pessoais de saúde (PHI), dados de cartão de crédito ou informações
      proprietárias.
  • A Bentley não responderá por extorsão ou outros atos criminosos e coercivos (por exemplo, demandas de pagamento adiantado em troca de não explorar uma vulnerabilidade encontrada.

A menos que informado de outra forma por nossa equipe de que a vulnerabilidade foi resolvida, retenha a divulgação pública da vulnerabilidade por 90 dias. Não fazer isso resultará em ação legal.

Somente o primeiro pesquisador a relatar um problema ou problemas semelhantes será considerado sob esta política. Isso inclui relatórios do mesmo problema em ambientes diferentes (por exemplo, dev-, qa-, prod-)

Assim que seu envio for recebido:

  • A vulnerabilidade relatada será analisada.
  • Se determinarmos que o envio é válido e atende aos requisitos desta política, você poderá receber uma remuneração.
  • Você será informado quando o problema for corrigido.
Exemplos de Vulnerabilidade Faixa de preço (USD)**
Controle de acesso Brocken (escalonamento de privilégios) 200-400
Problemas de lógica de negócios 100-300
Compartilhamento de recursos entre origens (CORS) 100-200
Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF) 100-200
Cross-Site Scripting (XSS) 50-150
Passagem de diretório 100-200
Sequestro de DLL 100-200
Injeção de hiperlink 50
Identificação e autenticação 200-400
Referência de objeto direto inseguro (IDOR) 200-400
Redirecionamento aberto 50-150
Outros 0-500
Execução remota de código 500
Configuração incorreta de segurança 50-200
Exposição de dados confidenciais 50-500
Configuração incorreta da sessão 50-150
Injeção SQL 200-400
**Observe que várias instâncias do mesmo problema só serão remuneradas até um máximo de 3x o preço.

**Relatórios de um problema em diferentes ambientes do produto (dev-, qa-, prod-) serão contados como um.

Reservamo-nos o direito de alterar esta política a qualquer momento e por qualquer motivo, e não podemos garantir remuneração por todos os relatórios. A remuneração é fornecida apenas através do PayPal. 

IMPORTANTE. Certifique-se de enviar apenas um endereço válido do PayPal: não poderemos considerar endereços diferentes do original para pagamento. Se a transação falhar por qualquer motivo (ou seja, PayPal recusa a transação; o banco receptor não pode aceitar o pagamento; limite máximo de valor for atingido, aceitação de pagamentos apenas através do site ou outras instruções, etc.), o pagamento será cancelado e não será reenviado.

A Bentley Systems reserva-se o direito de retirar o Programa de Divulgação Responsável e seu sistema de compensação a qualquer momento, sem aviso prévio.

20% de desconto em software da Bentley

A oferta termina na sexta-feira

Use o código de cupom "THANKS24"

Comemore a excelência na entrega e no desempenho da infraestrutura

Year in Infrastructure e Going Digital Awards 2024

Indique um projeto para os prêmios de maior prestígio em infraestrutura! O prazo estendido para participar é 29 de abril.