Início / Relatório de recompensas por bugs

Relatório de recompensas por bugs

Relatório de recompensas por bugs

A Bentley está comprometida em manter os dados de nossos usuários seguros e protegidos e ser transparente sobre a maneira como fazemos isso. Nossos padrões e certificações robustas de privacidade e proteção de dados, segurança e conformidade atestam isso.

Diretrizes do programa de divulgação responsável da Bentley Systems

Na Bentley Sistemas, nós levamos the Segurança os nosso sistemas e Produtos a sério, valorizamos the Segurança a comunidade. O divulgação os Segurança vulnerabilidades nos ajuda a garantir a segurança e a privacidade de nossos usuários. 

1. Diretrizes Gerais

A Bentley Systems exige que todos os pesquisadores

  • Evitem violações de privacidade, degradação da experiência do usuário, interrupção dos sistemas de produção e destruição de dados durante os testes de segurança.
  • Realizem pesquisas apenas dentro do escopo definido abaixo.
  • Usem os canais de comunicação definidos abaixo para nos relatar informações de vulnerabilidade.
  • Mantenham as informações sobre quaisquer vulnerabilidades que você descobriu confidenciais entre você e a Bentley Systems até que sejam corrigidas.
Se você seguir essas diretrizes ao nos relatar um problema, nós nos comprometemos
 
  • Não exercer ou apoiar qualquer ação legal relacionada à sua pesquisa.
  • Para trabalhar com você, e para entender e resolver o problema rapidamente.

2. Código de Conduta e Responsabilidades Legais

Ao conduzir pesquisas de vulnerabilidade de acordo com esta política, consideramos que esta pesquisa é

  • Autorizada em conformidade com a Lei de Abuso e Fraude de Computador (CFAA) (ou leis estaduais semelhantes), e não iniciaremos ou apoiaremos ações legais contra você por violações acidentais e de boa fé desta política.
  • Isenta da Lei de Direitos Autorais do Milênio Digital (DMCA - Digital Millennium Copyright Act), e não faremos uma reclamação contra você por contornar os controles de tecnologia.
  • Isenta de restrições em nossos Termos e Condições que possam interferir na realização de pesquisas de segurança, e renunciamos a essas restrições de forma limitada para o trabalho realizado sob esta política.
  • Legal, útil para a segurança geral da Internet e conduzida de boa fé.

Espera-se que você, como sempre, cumpra todas as leis aplicáveis. Se, a qualquer momento, você tiver dúvidas ou não tiver certeza se sua pesquisa de segurança é consistente com esta política, envie um relatório por meio de um de nossos canais de comunicação definidos abaixo antes de prosseguir.

3. Escopo / Fora do escopo

EscopoFora do escopo
  • Todos os subdomínios _.bentley.com
  • Todos os produtos de desktop da Bentley Systems (somente Edição CONNECT e posterior)
  • Todos os aplicativos móveis da Bentley Systems
  • Todos os aplicativos e serviços de nuvem da Bentley
  • Todos os projetos de código aberto da Bentley (incluindo imodeljs.org)
  • Infraestrutura da Bentley Systems (VPN, Mail Server, SharePoint, Skype, etc.)
  • Descobertas de testes físicos, como acesso ao escritório (por exemplo, portas abertas, utilização não autorizada)
  • Descobertas derivadas principalmente da engenharia social (por exemplo, phishing, vishing)
  • Descobertas de aplicações ou sistemas não listados na seção 'Escopo'
  • Bugs de interface de usuário e de experiência do usuário, e erros de ortografia
  • Vulnerabilidades de negação de serviço (DoS/DDoS) no nível da rede
  • Quaisquer serviços hospedados por provedores e serviços terceirizados (3-party services)
  • https://www.plaxis.ru
  • https://communities.bentley.com Communities reports should be submitted directly to Telligent.
  • Os relatórios da Synchro Academy devem ser enviados diretamente ao Cypher Learning.
  • https://yii.bentley.com/en

4. Vulnerabilidades elegíveis / Exclusões

Vulnerabilidades elegíveisExclusões
  • Controle de acesso Brocken (escalonamento de privilégios)
  • Problemas de lógica de negócios
  • Compartilhamento de recursos entre origens (Cross-Origin resource sharing - CORS)
  • Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF)
  • Cross-Site Scripting (XSS)
  • Passagem de diretório
  • Sequestro de DLL
  • Injeção de hiperlink
  • Identificação e autenticação
  • Referência de objeto direto inseguro (Insecure direct object reference - IDOR)
  • Redirecionamento aberto
  • Outros
  • Execução remota de código
  • Configuração incorreta de segurança
  • Exposição de dados confidenciais
  • Configuração incorreta da sessão
  • Injeção SQL
  • Aquisição de subdomínio*
  • Problemas de imprensa
  • Bugs lançados publicamente em software de Internet no prazo de 15 dias após sua divulgação
  • Spam ou técnicas de engenharia social, incluindo problemas de SPF e DKIM
  • Self-XSS (exigimos evidências de como o XSS pode ser usado para atacar outro usuário)
  • Opções relacionadas de X-Frame (clickjacking)
  • Vulnerabilidade de limite de taxa (a menos que uma PoC de exploit válida seja fornecida)
  • O arquivo XMLRPC.php está ativado, levando a um ataque DoS
  • Sinalizadores de cookies ausentes em cookies não confidenciais
  • Cabeçalhos de segurança ausentes que não levam diretamente a uma vulnerabilidade (a menos que você forneça uma PoC)
  • Injeção de cabeçalho (a menos que você possa mostrar como eles podem levar ao roubo de dados do usuário)
  • Exposição da versão (a menos que você forneça uma PoC de execução de exploit).
  • Problemas que não são exploráveis, mas levam a travamentos, rastreamento de pilha e vazamento de informações semelhantes ou problemas de estabilidade.
  • Negação de serviço
  • Algo que exija navegadores, plataformas ou criptografia desatualizados (ou seja, TLS BEAST, POODLE, etc.)
  • Algo advindo de uma varredura automatizada, que já seja público ou que não esteja sob o controle da Bentley Systems (por exemplo, Google Analytics, etc.)
  • Questões teóricas que carecem de severidade prática

*Informe apenas depois de ter um PoC na forma de duas capturas de tela com registros de data/hora e um subdomínio. Essas capturas de tela devem provar que o subdomínio estava livre por pelo menos uma hora. As ferramentas de verificação geralmente detectam o curto período de tempo enquanto as alterações no subdomínio estão sendo executadas, o que pode parecer uma vulnerabilidade, mas não é: o registro DNS é excluído logo depois. O envio das capturas de tela evitará relatórios de falsas vulnerabilidades, economizando tempo para você e nossa equipe.

Relatórios com PoC parcial (uma prova do registro de data/hora ou nenhum) não serão tratados como um primeiro relatório.

NB! A aquisição real do subdomínio relatado como PoC é proibida.

 

5. Como relatar

Se você acredita ter encontrado uma vulnerabilidade de segurança em um de nossos produtos ou plataformas, preencha o formulário nesta página.

Certifique-se de ter incluído as seguintes informações:

  • Descrição detalhada da vulnerabilidade contendo informações como URL, solicitação/resposta HTTP completa e tipo de vulnerabilidade.
  • Informações necessárias para reproduzir o problema.
  • Se aplicável, uma captura de tela e/ou vídeo da vulnerabilidade.
  • Informações de contato, nome, e-mail, número de telefone, localização. Envios sem essas informações não serão considerados.
  • NOTA IMPORTANTE. Você só pode fazer o envio inicial através do formulário. Se você tiver alguma dúvida não mencionada no formulário, envie um e-mail para [e-mail protegido].

6. Regras de engajamento

  • O DoS é estritamente proibido.
  • Qualquer forma de força bruta de credenciais é estritamente proibida.
  • É proibida a divulgação pública de uma vulnerabilidade relatada antes de corrigida.
  • Você não pode destruir ou degradar nosso desempenho ou violar a privacidade ou integridade de nossos usuários e seus dados.
  • A exploração de vulnerabilidades (que não sejam uma PoC genérica) é estritamente proibida e será processada de acordo com a lei aplicável.
  • Se uma vulnerabilidade fornecer acesso não intencional aos dados, você deve
    • Limitar a quantidade de dados que você acessa ao mínimo necessário para demonstrar efetivamente uma Prova de Conceito; e
    • Parar de testar e
    • Enviar um relatório imediatamente se encontrar quaisquer dados do usuário durante o teste, como Informações de identificação pessoal (PII), Informações pessoais de saúde (PHI), dados de cartão de crédito ou informações
      proprietárias.
  • A Bentley não responderá por extorsão ou outros atos criminosos e coercivos (por exemplo, demandas de pagamento adiantado em troca de não explorar uma vulnerabilidade encontrada.

7. Divulgação pública

A menos que informado de outra forma por nossa equipe de que a vulnerabilidade foi resolvida, retenha a divulgação pública da vulnerabilidade por 90 dias. Não fazer isso resultará em ação legal.

8. Duplicações

Somente o primeiro pesquisador a relatar um problema ou problemas semelhantes será considerado sob esta política. Isso inclui relatórios do mesmo problema em ambientes diferentes (por exemplo, dev-, qa-, prod-)

9. Triagem de vulnerabilidades

Assim que seu envio for recebido:

  • A vulnerabilidade relatada será analisada.
  • Se determinarmos que o envio é válido e atende aos requisitos desta política, você poderá receber uma remuneração.
  • Você será informado quando o problema for corrigido.

10. Remuneração

Exemplos de VulnerabilidadeFaixa de preço (USD)**
Controle de acesso Brocken (escalonamento de privilégios)250-450
Problemas de lógica de negócios100-300
Compartilhamento de recursos entre origens (CORS)100-200
Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF)150-250
Cross-Site Scripting (XSS)100-200
Sequestro de DLL50
Injeção de hiperlink50
Identificação e autenticação250-450
Referência de objeto direto inseguro (IDOR)250-450
Redirecionamento aberto50-150
Outros0-500
Execução remota de código600
Configuração incorreta de segurança50-250
Exposição de dados confidenciais50-200
Secrets leak200-500
Configuração incorreta da sessão50-200
Injeção SQL250-500
 

NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following:

  • report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
  • report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
  • report was submitted by the employee of the company that is a Bentley System’s service provider.
  • report was submitted by an individual residing in a country that is currently subject to international sanctions.
  • Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.

**Observe que várias instâncias do mesmo problema só serão remuneradas até um máximo de 3x o preço.

**Relatórios de um problema em diferentes ambientes do produto (dev-, qa-, prod-) serão contados como um.

Reservamo-nos o direito de alterar esta política a qualquer momento e por qualquer motivo, e não podemos garantir remuneração por todos os relatórios. A remuneração é fornecida apenas através do PayPal. 

IMPORTANTE. Certifique-se de enviar apenas um endereço válido do PayPal: não poderemos considerar endereços diferentes do original para pagamento. Se a transação falhar por qualquer motivo (ou seja, PayPal recusa a transação; o banco receptor não pode aceitar o pagamento; limite máximo de valor for atingido, aceitação de pagamentos apenas através do site ou outras instruções, etc.), o pagamento será cancelado e não será reenviado.

A Bentley Systems reserva-se o direito de retirar o Programa de Divulgação Responsável e seu sistema de compensação a qualquer momento, sem aviso prévio.

Registre um relatório

Índice

A Bentley Systems exige que todos os pesquisadores

  • Evitem violações de privacidade, degradação da experiência do usuário, interrupção dos sistemas de produção e destruição de dados durante os testes de segurança.
  • Realizem pesquisas apenas dentro do escopo definido abaixo.
  • Usem os canais de comunicação definidos abaixo para nos relatar informações de vulnerabilidade.
  • Mantenham as informações sobre quaisquer vulnerabilidades que você descobriu confidenciais entre você e a Bentley Systems até que sejam corrigidas.
Se você seguir essas diretrizes ao nos relatar um problema, nós nos comprometemos
 
  • Não exercer ou apoiar qualquer ação legal relacionada à sua pesquisa.
  • Para trabalhar com você, e para entender e resolver o problema rapidamente.

Ao conduzir pesquisas de vulnerabilidade de acordo com esta política, consideramos que esta pesquisa é

  • Autorizada em conformidade com a Lei de Abuso e Fraude de Computador (CFAA) (ou leis estaduais semelhantes), e não iniciaremos ou apoiaremos ações legais contra você por violações acidentais e de boa fé desta política.
  • Isenta da Lei de Direitos Autorais do Milênio Digital (DMCA - Digital Millennium Copyright Act), e não faremos uma reclamação contra você por contornar os controles de tecnologia.
  • Isenta de restrições em nossos Termos e Condições que possam interferir na realização de pesquisas de segurança, e renunciamos a essas restrições de forma limitada para o trabalho realizado sob esta política.
  • Legal, útil para a segurança geral da Internet e conduzida de boa fé.

Espera-se que você, como sempre, cumpra todas as leis aplicáveis. Se, a qualquer momento, você tiver dúvidas ou não tiver certeza se sua pesquisa de segurança é consistente com esta política, envie um relatório por meio de um de nossos canais de comunicação definidos abaixo antes de prosseguir.

Escopo
  • Todos os subdomínios _.bentley.com
  • Todos os produtos de desktop da Bentley Systems (somente Edição CONNECT e posterior)
  • Todos os aplicativos móveis da Bentley Systems
  • Todos os aplicativos e serviços de nuvem da Bentley
  • Todos os projetos de código aberto da Bentley (incluindo imodeljs.org)
Fora do escopo
Vulnerabilidades elegíveis
  • Controle de acesso Brocken (escalonamento de privilégios)
  • Problemas de lógica de negócios
  • Compartilhamento de recursos entre origens (Cross-Origin resource sharing - CORS)
  • Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF)
  • Cross-Site Scripting (XSS)
  • Passagem de diretório
  • Sequestro de DLL
  • Injeção de hiperlink
  • Identificação e autenticação
  • Referência de objeto direto inseguro (Insecure direct object reference - IDOR)
  • Redirecionamento aberto
  • Outros
  • Execução remota de código
  • Configuração incorreta de segurança
  • Exposição de dados confidenciais
  • Configuração incorreta da sessão
  • Injeção SQL
  • Aquisição de subdomínio*
  • Problemas de imprensa
Exclusões
  • Bugs lançados publicamente em software de Internet no prazo de 15 dias após sua divulgação
  • Spam ou técnicas de engenharia social, incluindo problemas de SPF e DKIM
  • Self-XSS (exigimos evidências de como o XSS pode ser usado para atacar outro usuário)
  • Opções relacionadas de X-Frame (clickjacking)
  • Vulnerabilidade de limite de taxa (a menos que uma PoC de exploit válida seja fornecida)
  • O arquivo XMLRPC.php está ativado, levando a um ataque DoS
  • Sinalizadores de cookies ausentes em cookies não confidenciais
  • Cabeçalhos de segurança ausentes que não levam diretamente a uma vulnerabilidade (a menos que você forneça uma PoC)
  • Injeção de cabeçalho (a menos que você possa mostrar como eles podem levar ao roubo de dados do usuário)
  • Exposição da versão (a menos que você forneça uma PoC de execução de exploit).
  • Problemas que não são exploráveis, mas levam a travamentos, rastreamento de pilha e vazamento de informações semelhantes ou problemas de estabilidade.
  • Negação de serviço
  • Algo que exija navegadores, plataformas ou criptografia desatualizados (ou seja, TLS BEAST, POODLE, etc.)
  • Algo advindo de uma varredura automatizada, que já seja público ou que não esteja sob o controle da Bentley Systems (por exemplo, Google Analytics, etc.)
  • Questões teóricas que carecem de severidade prática

*Informe apenas depois de ter um PoC na forma de duas capturas de tela com registros de data/hora e um subdomínio. Essas capturas de tela devem provar que o subdomínio estava livre por pelo menos uma hora. As ferramentas de verificação geralmente detectam o curto período de tempo enquanto as alterações no subdomínio estão sendo executadas, o que pode parecer uma vulnerabilidade, mas não é: o registro DNS é excluído logo depois. O envio das capturas de tela evitará relatórios de falsas vulnerabilidades, economizando tempo para você e nossa equipe.

Relatórios com PoC parcial (uma prova do registro de data/hora ou nenhum) não serão tratados como um primeiro relatório.

NB! A aquisição real do subdomínio relatado como PoC é proibida.

Se você acredita ter encontrado uma vulnerabilidade de segurança em um de nossos produtos ou plataformas, preencha o formulário nesta página.

Certifique-se de ter incluído as seguintes informações:

  • Descrição detalhada da vulnerabilidade contendo informações como URL, solicitação/resposta HTTP completa e tipo de vulnerabilidade.
  • Informações necessárias para reproduzir o problema.
  • Se aplicável, uma captura de tela e/ou vídeo da vulnerabilidade.
  • Informações de contato, nome, e-mail, número de telefone, localização. Envios sem essas informações não serão considerados.
  • NOTA IMPORTANTE. Você só pode fazer o envio inicial através do formulário. Se você tiver alguma dúvida não mencionada no formulário, envie um e-mail para [e-mail protegido].
  • O DoS é estritamente proibido.
  • Qualquer forma de força bruta de credenciais é estritamente proibida.
  • É proibida a divulgação pública de uma vulnerabilidade relatada antes de corrigida.
  • Você não pode destruir ou degradar nosso desempenho ou violar a privacidade ou integridade de nossos usuários e seus dados.
  • A exploração de vulnerabilidades (que não sejam uma PoC genérica) é estritamente proibida e será processada de acordo com a lei aplicável.
  • Se uma vulnerabilidade fornecer acesso não intencional aos dados, você deve
    • Limitar a quantidade de dados que você acessa ao mínimo necessário para demonstrar efetivamente uma Prova de Conceito; e
    • Parar de testar e
    • Enviar um relatório imediatamente se encontrar quaisquer dados do usuário durante o teste, como Informações de identificação pessoal (PII), Informações pessoais de saúde (PHI), dados de cartão de crédito ou informações
      proprietárias.
  • A Bentley não responderá por extorsão ou outros atos criminosos e coercivos (por exemplo, demandas de pagamento adiantado em troca de não explorar uma vulnerabilidade encontrada.

A menos que informado de outra forma por nossa equipe de que a vulnerabilidade foi resolvida, retenha a divulgação pública da vulnerabilidade por 90 dias. Não fazer isso resultará em ação legal.

Somente o primeiro pesquisador a relatar um problema ou problemas semelhantes será considerado sob esta política. Isso inclui relatórios do mesmo problema em ambientes diferentes (por exemplo, dev-, qa-, prod-)

Assim que seu envio for recebido:

  • A vulnerabilidade relatada será analisada.
  • Se determinarmos que o envio é válido e atende aos requisitos desta política, você poderá receber uma remuneração.
  • Você será informado quando o problema for corrigido.
Exemplos de Vulnerabilidade Faixa de preço (USD)**
Controle de acesso Brocken (escalonamento de privilégios) 200-400
Problemas de lógica de negócios 100-300
Compartilhamento de recursos entre origens (CORS) 100-200
Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF) 100-200
Cross-Site Scripting (XSS) 50-150
Passagem de diretório 100-200
Sequestro de DLL 100-200
Injeção de hiperlink 50
Identificação e autenticação 200-400
Referência de objeto direto inseguro (IDOR) 200-400
Redirecionamento aberto 50-150
Outros 0-500
Execução remota de código 500
Configuração incorreta de segurança 50-200
Exposição de dados confidenciais 50-500
Configuração incorreta da sessão 50-150
Injeção SQL 200-400
**Observe que várias instâncias do mesmo problema só serão remuneradas até um máximo de 3x o preço.

**Relatórios de um problema em diferentes ambientes do produto (dev-, qa-, prod-) serão contados como um.

Reservamo-nos o direito de alterar esta política a qualquer momento e por qualquer motivo, e não podemos garantir remuneração por todos os relatórios. A remuneração é fornecida apenas através do PayPal. 

IMPORTANTE. Certifique-se de enviar apenas um endereço válido do PayPal: não poderemos considerar endereços diferentes do original para pagamento. Se a transação falhar por qualquer motivo (ou seja, PayPal recusa a transação; o banco receptor não pode aceitar o pagamento; limite máximo de valor for atingido, aceitação de pagamentos apenas através do site ou outras instruções, etc.), o pagamento será cancelado e não será reenviado.

A Bentley Systems reserva-se o direito de retirar o Programa de Divulgação Responsável e seu sistema de compensação a qualquer momento, sem aviso prévio.

Comemore a excelência na entrega e no desempenho da infraestrutura

Year in Infrastructure e Going Digital Awards 2024

Nominate a project for the most prestigious awards in infrastructure! Extended deadline to enter is April 29th.