Relatório de recompensas por bugs
A Bentley está comprometida em manter os dados de nossos usuários seguros e protegidos e ser transparente sobre a maneira como fazemos isso. Nossos padrões e certificações robustas de privacidade e proteção de dados, segurança e conformidade atestam isso.
Diretrizes do programa de divulgação responsável da Bentley Systems
At Bentley Systems, we take the security of our systems and products seriously, and we value the security community. The disclosure of security vulnerabilities helps us ensure the security and privacy of our users.
1. Diretrizes Gerais
A Bentley Systems exige que todos os pesquisadores
- Evitem violações de privacidade, degradação da experiência do usuário, interrupção dos sistemas de produção e destruição de dados durante os testes de segurança.
- Realizem pesquisas apenas dentro do escopo definido abaixo.
- Usem os canais de comunicação definidos abaixo para nos relatar informações de vulnerabilidade.
- Mantenham as informações sobre quaisquer vulnerabilidades que você descobriu confidenciais entre você e a Bentley Systems até que sejam corrigidas.
- Não exercer ou apoiar qualquer ação legal relacionada à sua pesquisa.
- Para trabalhar com você, e para entender e resolver o problema rapidamente.
2. Código de Conduta e Responsabilidades Legais
Ao conduzir pesquisas de vulnerabilidade de acordo com esta política, consideramos que esta pesquisa é
- Autorizada em conformidade com a Lei de Abuso e Fraude de Computador (CFAA) (ou leis estaduais semelhantes), e não iniciaremos ou apoiaremos ações legais contra você por violações acidentais e de boa fé desta política.
- Isenta da Lei de Direitos Autorais do Milênio Digital (DMCA - Digital Millennium Copyright Act), e não faremos uma reclamação contra você por contornar os controles de tecnologia.
- Isenta de restrições em nossos Termos e Condições que possam interferir na realização de pesquisas de segurança, e renunciamos a essas restrições de forma limitada para o trabalho realizado sob esta política.
- Legal, útil para a segurança geral da Internet e conduzida de boa fé.
Espera-se que você, como sempre, cumpra todas as leis aplicáveis. Se, a qualquer momento, você tiver dúvidas ou não tiver certeza se sua pesquisa de segurança é consistente com esta política, envie um relatório por meio de um de nossos canais de comunicação definidos abaixo antes de prosseguir.
3. Escopo / Fora do escopo
Escopo | Fora do escopo |
---|---|
|
|
4. Vulnerabilidades elegíveis / Exclusões
Vulnerabilidades elegíveis | Exclusões |
---|---|
|
|
*Informe apenas depois de ter um PoC na forma de duas capturas de tela com registros de data/hora e um subdomínio. Essas capturas de tela devem provar que o subdomínio estava livre por pelo menos uma hora. As ferramentas de verificação geralmente detectam o curto período de tempo enquanto as alterações no subdomínio estão sendo executadas, o que pode parecer uma vulnerabilidade, mas não é: o registro DNS é excluído logo depois. O envio das capturas de tela evitará relatórios de falsas vulnerabilidades, economizando tempo para você e nossa equipe.
Relatórios com PoC parcial (uma prova do registro de data/hora ou nenhum) não serão tratados como um primeiro relatório.
NB! A aquisição real do subdomínio relatado como PoC é proibida.
5. Como relatar
Se você acredita ter encontrado uma vulnerabilidade de segurança em um de nossos produtos ou plataformas, preencha o formulário nesta página.
A good practice is to think whether the discovered vulnerability puts at risk:
- Bentley Systems clients’ information.
- Bentley Systems software.
- Bentley Systems reputation.
Certifique-se de ter incluído as seguintes informações:
- Descrição detalhada da vulnerabilidade contendo informações como URL, solicitação/resposta HTTP completa e tipo de vulnerabilidade.
- Information necessary to reproduce the issue.
- Proof of concept including practical severity and attack scenario, indication of a potential risk only is hard to evaluate and usually such report is not approved.
- If applicable, a screenshot and/or video of the vulnerability.
- Informações de contato, nome, e-mail, número de telefone, localização. Envios sem essas informações não serão considerados.
- IMPORTANT NOTE. You may only make the initial submission through the form. If you have any questions not mentioned in a form, please e-mail us at [email protected].
6. Regras de engajamento
- O DoS é estritamente proibido.
- Qualquer forma de força bruta de credenciais é estritamente proibida.
- É proibida a divulgação pública de uma vulnerabilidade relatada antes de corrigida.
- Você não pode destruir ou degradar nosso desempenho ou violar a privacidade ou integridade de nossos usuários e seus dados.
- A exploração de vulnerabilidades (que não sejam uma PoC genérica) é estritamente proibida e será processada de acordo com a lei aplicável.
- Se uma vulnerabilidade fornecer acesso não intencional aos dados, você deve
- Limitar a quantidade de dados que você acessa ao mínimo necessário para demonstrar efetivamente uma Prova de Conceito; e
- Parar de testar e
- Enviar um relatório imediatamente se encontrar quaisquer dados do usuário durante o teste, como Informações de identificação pessoal (PII), Informações pessoais de saúde (PHI), dados de cartão de crédito ou informações
proprietárias.
- A Bentley não responderá por extorsão ou outros atos criminosos e coercivos (por exemplo, demandas de pagamento adiantado em troca de não explorar uma vulnerabilidade encontrada.
7. Divulgação pública
A menos que informado de outra forma por nossa equipe de que a vulnerabilidade foi resolvida, retenha a divulgação pública da vulnerabilidade por 90 dias. Não fazer isso resultará em ação legal.
8. Duplicações
- Only the first researcher to report an issue will be entitled for a reward.
- The reports of the same issue in different environments are not rewarded and closed as duplicates. (e.g. dev-*-bentley.com, qa- dev-*-bentley.com, prod- dev-*-bentley.com)
- The reports of the same issue in different deployment regions are not rewarded and closed as duplicates. (e.g. *.us.bentley.com, *.eus-bentley.com, *.in.-*-bentley.com)
- Multiple instances of the same issue will only be compensated to a max of 3x the reward sum. (e.g. expires SSL certificate on 25 domain and subdomains will count 3×100 USD, and not 25×100 USD)
9. Triagem de vulnerabilidades
- A vulnerabilidade relatada será analisada.
- You will be informed if the issue is closed without a reward. We do not send a detailed explanation of the resolution.
- If we determine the submission is valid and meets the requirements of this policy, you may receive a reward after the fix is implemented. Our commitment is to reward your efforts within 90 days.
10. Remuneração
Exemplos de Vulnerabilidade | Faixa de preço (USD)** |
---|---|
Controle de acesso Brocken (escalonamento de privilégios) | 250-450 |
Problemas de lógica de negócios | 100-300 |
Compartilhamento de recursos entre origens (CORS) | 100-200 |
Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF) | 150-250 |
Cross-Site Scripting (XSS) | 100-200 |
Sequestro de DLL | 50 |
Injeção de hiperlink | 50 |
Identificação e autenticação | 250-450 |
Referência de objeto direto inseguro (IDOR) | 250-450 |
Redirecionamento aberto | 50-150 |
Outros | 0-500 |
Execução remota de código | 600 |
Configuração incorreta de segurança | 50-250 |
Exposição de dados confidenciais | 50-200 |
Secrets leak | 200-500 |
Configuração incorreta da sessão | 50-200 |
Injeção SQL | 250-500 |
NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following:
- report was submitted by current of former employee of Bentley Systems
- report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
- report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
- report was submitted by the employee of the company that is a Bentley System’s service provider.
- report was submitted by an individual residing in a country that is currently subject to international sanctions.
- Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.
**Observe que várias instâncias do mesmo problema só serão remuneradas até um máximo de 3x o preço.
**Relatórios de um problema em diferentes ambientes do produto (dev-, qa-, prod-) serão contados como um.
Reservamo-nos o direito de alterar esta política a qualquer momento e por qualquer motivo, e não podemos garantir remuneração por todos os relatórios. A remuneração é fornecida apenas através do PayPal.
IMPORTANTE. Certifique-se de enviar apenas um endereço válido do PayPal: não poderemos considerar endereços diferentes do original para pagamento. Se a transação falhar por qualquer motivo (ou seja, PayPal recusa a transação; o banco receptor não pode aceitar o pagamento; limite máximo de valor for atingido, aceitação de pagamentos apenas através do site ou outras instruções, etc.), o pagamento será cancelado e não será reenviado.
A Bentley Systems reserva-se o direito de retirar o Programa de Divulgação Responsável e seu sistema de compensação a qualquer momento, sem aviso prévio.
Registre um relatório
Índice
A Bentley Systems exige que todos os pesquisadores
- Evitem violações de privacidade, degradação da experiência do usuário, interrupção dos sistemas de produção e destruição de dados durante os testes de segurança.
- Realizem pesquisas apenas dentro do escopo definido abaixo.
- Usem os canais de comunicação definidos abaixo para nos relatar informações de vulnerabilidade.
- Mantenham as informações sobre quaisquer vulnerabilidades que você descobriu confidenciais entre você e a Bentley Systems até que sejam corrigidas.
- Não exercer ou apoiar qualquer ação legal relacionada à sua pesquisa.
- Para trabalhar com você, e para entender e resolver o problema rapidamente.
Ao conduzir pesquisas de vulnerabilidade de acordo com esta política, consideramos que esta pesquisa é
- Autorizada em conformidade com a Lei de Abuso e Fraude de Computador (CFAA) (ou leis estaduais semelhantes), e não iniciaremos ou apoiaremos ações legais contra você por violações acidentais e de boa fé desta política.
- Isenta da Lei de Direitos Autorais do Milênio Digital (DMCA - Digital Millennium Copyright Act), e não faremos uma reclamação contra você por contornar os controles de tecnologia.
- Isenta de restrições em nossos Termos e Condições que possam interferir na realização de pesquisas de segurança, e renunciamos a essas restrições de forma limitada para o trabalho realizado sob esta política.
- Legal, útil para a segurança geral da Internet e conduzida de boa fé.
Espera-se que você, como sempre, cumpra todas as leis aplicáveis. Se, a qualquer momento, você tiver dúvidas ou não tiver certeza se sua pesquisa de segurança é consistente com esta política, envie um relatório por meio de um de nossos canais de comunicação definidos abaixo antes de prosseguir.
Escopo |
---|
|
Fora do escopo |
|
Vulnerabilidades elegíveis |
---|
|
Exclusões |
|
Se você acredita ter encontrado uma vulnerabilidade de segurança em um de nossos produtos ou plataformas, preencha o formulário nesta página.
Certifique-se de ter incluído as seguintes informações:
- Descrição detalhada da vulnerabilidade contendo informações como URL, solicitação/resposta HTTP completa e tipo de vulnerabilidade.
- Informações necessárias para reproduzir o problema.
- Se aplicável, uma captura de tela e/ou vídeo da vulnerabilidade.
- Informações de contato, nome, e-mail, número de telefone, localização. Envios sem essas informações não serão considerados.
- NOTA IMPORTANTE. Você só pode fazer o envio inicial através do formulário. Se você tiver alguma dúvida não mencionada no formulário, envie um e-mail para [e-mail protegido].
- O DoS é estritamente proibido.
- Qualquer forma de força bruta de credenciais é estritamente proibida.
- É proibida a divulgação pública de uma vulnerabilidade relatada antes de corrigida.
- Você não pode destruir ou degradar nosso desempenho ou violar a privacidade ou integridade de nossos usuários e seus dados.
- A exploração de vulnerabilidades (que não sejam uma PoC genérica) é estritamente proibida e será processada de acordo com a lei aplicável.
- Se uma vulnerabilidade fornecer acesso não intencional aos dados, você deve
- Limitar a quantidade de dados que você acessa ao mínimo necessário para demonstrar efetivamente uma Prova de Conceito; e
- Parar de testar e
- Enviar um relatório imediatamente se encontrar quaisquer dados do usuário durante o teste, como Informações de identificação pessoal (PII), Informações pessoais de saúde (PHI), dados de cartão de crédito ou informações
proprietárias.
- A Bentley não responderá por extorsão ou outros atos criminosos e coercivos (por exemplo, demandas de pagamento adiantado em troca de não explorar uma vulnerabilidade encontrada.
A menos que informado de outra forma por nossa equipe de que a vulnerabilidade foi resolvida, retenha a divulgação pública da vulnerabilidade por 90 dias. Não fazer isso resultará em ação legal.
Somente o primeiro pesquisador a relatar um problema ou problemas semelhantes será considerado sob esta política. Isso inclui relatórios do mesmo problema em ambientes diferentes (por exemplo, dev-, qa-, prod-)
Assim que seu envio for recebido:
- A vulnerabilidade relatada será analisada.
- Se determinarmos que o envio é válido e atende aos requisitos desta política, você poderá receber uma remuneração.
- Você será informado quando o problema for corrigido.
Exemplos de Vulnerabilidade | Faixa de preço (USD)** |
---|---|
Controle de acesso Brocken (escalonamento de privilégios) | 200-400 |
Problemas de lógica de negócios | 100-300 |
Compartilhamento de recursos entre origens (CORS) | 100-200 |
Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF) | 100-200 |
Cross-Site Scripting (XSS) | 50-150 |
Passagem de diretório | 100-200 |
Sequestro de DLL | 100-200 |
Injeção de hiperlink | 50 |
Identificação e autenticação | 200-400 |
Referência de objeto direto inseguro (IDOR) | 200-400 |
Redirecionamento aberto | 50-150 |
Outros | 0-500 |
Execução remota de código | 500 |
Configuração incorreta de segurança | 50-200 |
Exposição de dados confidenciais | 50-500 |
Configuração incorreta da sessão | 50-150 |
Injeção SQL | 200-400 |