Início / Relatório de recompensas por bugs

Relatório de recompensas por bugs

Relatório de recompensas por bugs

A Bentley está comprometida em manter os dados de nossos usuários seguros e protegidos e ser transparente sobre a maneira como fazemos isso. Nossos padrões e certificações robustas de privacidade e proteção de dados, segurança e conformidade atestam isso.

Diretrizes do programa de divulgação responsável da Bentley Systems

Na Bentley Sistemas, nós levamos the Segurança os nosso sistemas e Produtos a sério, valorizamos the Segurança a comunidade. O divulgação os Segurança vulnerabilidades nos ajuda a garantir a segurança e a privacidade de nossos usuários. 

1. Diretrizes Gerais

A Bentley Systems exige que todos os pesquisadores

  • Evitem violações de privacidade, degradação da experiência do usuário, interrupção dos sistemas de produção e destruição de dados durante os testes de segurança.
  • Realizem pesquisas apenas dentro do escopo definido abaixo.
  • Usem os canais de comunicação definidos abaixo para nos relatar informações de vulnerabilidade.
  • Mantenham as informações sobre quaisquer vulnerabilidades que você descobriu confidenciais entre você e a Bentley Systems até que sejam corrigidas.
Se você seguir essas diretrizes ao nos relatar um problema, nós nos comprometemos
 
  • Não exercer ou apoiar qualquer ação legal relacionada à sua pesquisa.
  • Para trabalhar com você, e para entender e resolver o problema rapidamente.

2. Código de Conduta e Responsabilidades Legais

Ao conduzir pesquisas de vulnerabilidade de acordo com esta política, consideramos que esta pesquisa é

  • Autorizada em conformidade com a Lei de Abuso e Fraude de Computador (CFAA) (ou leis estaduais semelhantes), e não iniciaremos ou apoiaremos ações legais contra você por violações acidentais e de boa fé desta política.
  • Isenta da Lei de Direitos Autorais do Milênio Digital (DMCA - Digital Millennium Copyright Act), e não faremos uma reclamação contra você por contornar os controles de tecnologia.
  • Isenta de restrições em nossos Termos e Condições que possam interferir na realização de pesquisas de segurança, e renunciamos a essas restrições de forma limitada para o trabalho realizado sob esta política.
  • Legal, útil para a segurança geral da Internet e conduzida de boa fé.

Espera-se que você, como sempre, cumpra todas as leis aplicáveis. Se, a qualquer momento, você tiver dúvidas ou não tiver certeza se sua pesquisa de segurança é consistente com esta política, envie um relatório por meio de um de nossos canais de comunicação definidos abaixo antes de prosseguir.

3. Escopo / Fora do escopo

EscopoFora do escopo
  • Todos os subdomínios _.bentley.com
  • Todos os produtos de desktop da Bentley Systems (somente Edição CONNECT e posterior)
  • Todos os aplicativos móveis da Bentley Systems
  • Todos os aplicativos e serviços de nuvem da Bentley
  • All Bentley Open-Source Projects (including imodeljs.org)
  • Infraestrutura da Bentley Systems (VPN, Mail Server, SharePoint, Skype, etc.)
  • Descobertas de testes físicos, como acesso ao escritório (por exemplo, portas abertas, utilização não autorizada)
  • Descobertas derivadas principalmente da engenharia social (por exemplo, phishing, vishing)
  • Descobertas de aplicações ou sistemas não listados na seção 'Escopo'
  • Quaisquer serviços hospedados por provedores e serviços terceirizados (3-party services)
  • https://www.plaxis.ru

4. Vulnerabilidades elegíveis / Exclusões

Vulnerabilidades elegíveisExclusões
  • Execução remota de código
  • Sequestro de DLL
  • Injeção SQL
  • Cross-Site Scripting (XSS)
  • Identificação e autenticação
  • Referência de objeto direto inseguro (Insecure direct object reference - IDOR)
  • Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF)
  • Passagem de diretório
  • Exposição de dados confidenciais
  • Configuração incorreta da sessão
  • Broken Access control (Privilege Escalation)
  • Configuração incorreta de segurança
  • Compartilhamento de recursos entre origens (Cross-Origin resource sharing - CORS)
  • Redirecionamento aberto
  • Aquisição de subdomínio*
  • Problemas de lógica de negócios
  • Injeção de hiperlink
  • Problemas de imprensa
  • DDoS
  • DoS, and application-level DoS (unless the response is asymmetrical compared to the initial request)
  • Bugs lançados publicamente em software de Internet no prazo de 15 dias após sua divulgação
  • Self-XSS (exigimos evidências de como o XSS pode ser usado para atacar outro usuário)
  • Opções relacionadas de X-Frame (clickjacking)
  • Injeção de cabeçalho (a menos que você possa mostrar como eles podem levar ao roubo de dados do usuário)
  • Problemas que não são exploráveis, mas levam a travamentos, rastreamento de pilha e vazamento de informações semelhantes ou problemas de estabilidade.
  • Exposição da versão (a menos que você forneça uma PoC de execução de exploit).
  • Algo que exija navegadores, plataformas ou criptografia desatualizados (ou seja, TLS BEAST, POODLE, etc.)
  • Spam ou técnicas de engenharia social, incluindo problemas de SPF e DKIM
  • Rate limit vulnerability not on a login functionality (unless a valid exploit PoC provided)
  • O arquivo XMLRPC.php está ativado, levando a um ataque DoS
  • Sinalizadores de cookies ausentes em cookies não confidenciais
  • Cabeçalhos de segurança ausentes que não levam diretamente a uma vulnerabilidade (a menos que você forneça uma PoC)
  • Anything from an automated scan
  • Anything that is public by default (e.g. public keys, config files without sensitive information, etc.)
  • Anything not under Bentley Systems control (e.g. Google Analytics, etc.)
  • Questões teóricas que carecem de severidade prática
  • Bugs de interface de usuário e de experiência do usuário, e erros de ortografia
  • Credentials found at breach forums like [https://breachforums.st, https://phonebook.cz] etc.
  • CAA certificate missing
  • User enumeration in WP, when only a few Bentley employees, who posted on the website, are exposed

*Informe apenas depois de ter um PoC na forma de duas capturas de tela com registros de data/hora e um subdomínio. Essas capturas de tela devem provar que o subdomínio estava livre por pelo menos uma hora. As ferramentas de verificação geralmente detectam o curto período de tempo enquanto as alterações no subdomínio estão sendo executadas, o que pode parecer uma vulnerabilidade, mas não é: o registro DNS é excluído logo depois. O envio das capturas de tela evitará relatórios de falsas vulnerabilidades, economizando tempo para você e nossa equipe. 

Relatórios com PoC parcial (uma prova do registro de data/hora ou nenhum) não serão tratados como um primeiro relatório. 

NB! A aquisição real do subdomínio relatado como PoC é proibida. 

5. Como relatar

Se você acredita ter encontrado uma vulnerabilidade de segurança em um de nossos produtos ou plataformas, preencha o formulário nesta página. 

A good practice is to think whether the discovered vulnerability puts at risk:

  • Bentley Systems clients’ information.
  • Bentley Systems software.
  • Bentley Systems reputation.

Certifique-se de ter incluído as seguintes informações:

  • Descrição detalhada da vulnerabilidade contendo informações como URL, solicitação/resposta HTTP completa e tipo de vulnerabilidade.
  • Information necessary to reproduce the issue.
  • Proof of concept including practical severity and attack scenario, indication of a potential risk only is hard to evaluate and usually such report is not approved.
  • If applicable, a screenshot and/or video of the vulnerability.
  • Informações de contato, nome, e-mail, número de telefone, localização. Envios sem essas informações não serão considerados.
  • IMPORTANT NOTE. You may only make the initial submission through the form. If you have any questions not mentioned in a form, please e-mail us at [email protected].

6. Regras de engajamento

  • O DoS é estritamente proibido.
  • Qualquer forma de força bruta de credenciais é estritamente proibida.
  • É proibida a divulgação pública de uma vulnerabilidade relatada antes de corrigida.
  • Você não pode destruir ou degradar nosso desempenho ou violar a privacidade ou integridade de nossos usuários e seus dados.
  • A exploração de vulnerabilidades (que não sejam uma PoC genérica) é estritamente proibida e será processada de acordo com a lei aplicável.
  • Se uma vulnerabilidade fornecer acesso não intencional aos dados, você deve
    • Limitar a quantidade de dados que você acessa ao mínimo necessário para demonstrar efetivamente uma Prova de Conceito; e
    • Parar de testar e
    • Enviar um relatório imediatamente se encontrar quaisquer dados do usuário durante o teste, como Informações de identificação pessoal (PII), Informações pessoais de saúde (PHI), dados de cartão de crédito ou informações
      proprietárias.
  • A Bentley não responderá por extorsão ou outros atos criminosos e coercivos (por exemplo, demandas de pagamento adiantado em troca de não explorar uma vulnerabilidade encontrada.

7. Divulgação pública

A menos que informado de outra forma por nossa equipe de que a vulnerabilidade foi resolvida, retenha a divulgação pública da vulnerabilidade por 90 dias. Não fazer isso resultará em ação legal.

8. Duplicações

  • Only the first researcher to report an issue will be entitled for a reward.
  • The reports of the same issue in different environments are not rewarded and closed as duplicates. (e.g. dev-*-bentley.com, qa- dev-*-bentley.com, prod- dev-*-bentley.com) 
  • The reports of the same issue in different deployment regions are not rewarded and closed as duplicates. (e.g. *.us.bentley.com, *.eus-bentley.com, *.in.-*-bentley.com)
  • Multiple instances of the same issue will only be compensated to a max of 3x the reward sum. (e.g. expires SSL certificate on 25 domain and subdomains will count 3×100 USD, and not 25×100 USD)

9. Triagem de vulnerabilidades

Assim que seu envio for recebido:
  • A vulnerabilidade relatada será analisada.
  • You will be informed if the issue is closed without a reward. We do not send a detailed explanation of the resolution.
  • If we determine the submission is valid and meets the requirements of this policy, you may receive a reward after the fix is implemented. Our commitment is to reward your efforts within 90 days.

10. Remuneração

Exemplos de VulnerabilidadeFaixa de preço (USD)**
Controle de acesso Brocken (escalonamento de privilégios)250-450
Problemas de lógica de negócios100-300
Compartilhamento de recursos entre origens (CORS)100-200
Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF)150-250
Cross-Site Scripting (XSS)100-200
Sequestro de DLL50
Injeção de hiperlink50
Identificação e autenticação250-450
Referência de objeto direto inseguro (IDOR)250-450
Redirecionamento aberto50-150
Outros0-500
Execução remota de código600
Configuração incorreta de segurança50-250
Exposição de dados confidenciais50-200
Secrets leak200-500
Configuração incorreta da sessão50-200
Injeção SQL250-500
 

NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following: 

  • report was submitted by current of former employee of Bentley Systems
  • report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
  • report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
  • report was submitted by the employee of the company that is a Bentley System’s service provider.
  • report was submitted by an individual residing in a country that is currently subject to international sanctions.
  • Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.

**Observe que várias instâncias do mesmo problema só serão remuneradas até um máximo de 3x o preço.

**Relatórios de um problema em diferentes ambientes do produto (dev-, qa-, prod-) serão contados como um.

Reservamo-nos o direito de alterar esta política a qualquer momento e por qualquer motivo, e não podemos garantir remuneração por todos os relatórios. A remuneração é fornecida apenas através do PayPal. 

IMPORTANTE. Certifique-se de enviar apenas um endereço válido do PayPal: não poderemos considerar endereços diferentes do original para pagamento. Se a transação falhar por qualquer motivo (ou seja, PayPal recusa a transação; o banco receptor não pode aceitar o pagamento; limite máximo de valor for atingido, aceitação de pagamentos apenas através do site ou outras instruções, etc.), o pagamento será cancelado e não será reenviado.

A Bentley Systems reserva-se o direito de retirar o Programa de Divulgação Responsável e seu sistema de compensação a qualquer momento, sem aviso prévio.

Registre um relatório

Índice

A Bentley Systems exige que todos os pesquisadores

  • Evitem violações de privacidade, degradação da experiência do usuário, interrupção dos sistemas de produção e destruição de dados durante os testes de segurança.
  • Realizem pesquisas apenas dentro do escopo definido abaixo.
  • Usem os canais de comunicação definidos abaixo para nos relatar informações de vulnerabilidade.
  • Mantenham as informações sobre quaisquer vulnerabilidades que você descobriu confidenciais entre você e a Bentley Systems até que sejam corrigidas.
Se você seguir essas diretrizes ao nos relatar um problema, nós nos comprometemos
 
  • Não exercer ou apoiar qualquer ação legal relacionada à sua pesquisa.
  • Para trabalhar com você, e para entender e resolver o problema rapidamente.

Ao conduzir pesquisas de vulnerabilidade de acordo com esta política, consideramos que esta pesquisa é

  • Autorizada em conformidade com a Lei de Abuso e Fraude de Computador (CFAA) (ou leis estaduais semelhantes), e não iniciaremos ou apoiaremos ações legais contra você por violações acidentais e de boa fé desta política.
  • Isenta da Lei de Direitos Autorais do Milênio Digital (DMCA - Digital Millennium Copyright Act), e não faremos uma reclamação contra você por contornar os controles de tecnologia.
  • Isenta de restrições em nossos Termos e Condições que possam interferir na realização de pesquisas de segurança, e renunciamos a essas restrições de forma limitada para o trabalho realizado sob esta política.
  • Legal, útil para a segurança geral da Internet e conduzida de boa fé.

Espera-se que você, como sempre, cumpra todas as leis aplicáveis. Se, a qualquer momento, você tiver dúvidas ou não tiver certeza se sua pesquisa de segurança é consistente com esta política, envie um relatório por meio de um de nossos canais de comunicação definidos abaixo antes de prosseguir.

Escopo
  • Todos os subdomínios _.bentley.com
  • Todos os produtos de desktop da Bentley Systems (somente Edição CONNECT e posterior)
  • Todos os aplicativos móveis da Bentley Systems
  • Todos os aplicativos e serviços de nuvem da Bentley
  • Todos os projetos de código aberto da Bentley (incluindo imodeljs.org)
Fora do escopo
Vulnerabilidades elegíveis
  • Controle de acesso Brocken (escalonamento de privilégios)
  • Problemas de lógica de negócios
  • Compartilhamento de recursos entre origens (Cross-Origin resource sharing - CORS)
  • Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF)
  • Cross-Site Scripting (XSS)
  • Passagem de diretório
  • Sequestro de DLL
  • Injeção de hiperlink
  • Identificação e autenticação
  • Referência de objeto direto inseguro (Insecure direct object reference - IDOR)
  • Redirecionamento aberto
  • Outros
  • Execução remota de código
  • Configuração incorreta de segurança
  • Exposição de dados confidenciais
  • Configuração incorreta da sessão
  • Injeção SQL
  • Aquisição de subdomínio*
  • Problemas de imprensa
Exclusões
  • Bugs lançados publicamente em software de Internet no prazo de 15 dias após sua divulgação
  • Spam ou técnicas de engenharia social, incluindo problemas de SPF e DKIM
  • Self-XSS (exigimos evidências de como o XSS pode ser usado para atacar outro usuário)
  • Opções relacionadas de X-Frame (clickjacking)
  • Vulnerabilidade de limite de taxa (a menos que uma PoC de exploit válida seja fornecida)
  • O arquivo XMLRPC.php está ativado, levando a um ataque DoS
  • Sinalizadores de cookies ausentes em cookies não confidenciais
  • Cabeçalhos de segurança ausentes que não levam diretamente a uma vulnerabilidade (a menos que você forneça uma PoC)
  • Injeção de cabeçalho (a menos que você possa mostrar como eles podem levar ao roubo de dados do usuário)
  • Exposição da versão (a menos que você forneça uma PoC de execução de exploit).
  • Problemas que não são exploráveis, mas levam a travamentos, rastreamento de pilha e vazamento de informações semelhantes ou problemas de estabilidade.
  • Negação de serviço
  • Algo que exija navegadores, plataformas ou criptografia desatualizados (ou seja, TLS BEAST, POODLE, etc.)
  • Algo advindo de uma varredura automatizada, que já seja público ou que não esteja sob o controle da Bentley Systems (por exemplo, Google Analytics, etc.)
  • Questões teóricas que carecem de severidade prática

*Informe apenas depois de ter um PoC na forma de duas capturas de tela com registros de data/hora e um subdomínio. Essas capturas de tela devem provar que o subdomínio estava livre por pelo menos uma hora. As ferramentas de verificação geralmente detectam o curto período de tempo enquanto as alterações no subdomínio estão sendo executadas, o que pode parecer uma vulnerabilidade, mas não é: o registro DNS é excluído logo depois. O envio das capturas de tela evitará relatórios de falsas vulnerabilidades, economizando tempo para você e nossa equipe.

Relatórios com PoC parcial (uma prova do registro de data/hora ou nenhum) não serão tratados como um primeiro relatório.

NB! A aquisição real do subdomínio relatado como PoC é proibida.

Se você acredita ter encontrado uma vulnerabilidade de segurança em um de nossos produtos ou plataformas, preencha o formulário nesta página.

Certifique-se de ter incluído as seguintes informações:

  • Descrição detalhada da vulnerabilidade contendo informações como URL, solicitação/resposta HTTP completa e tipo de vulnerabilidade.
  • Informações necessárias para reproduzir o problema.
  • Se aplicável, uma captura de tela e/ou vídeo da vulnerabilidade.
  • Informações de contato, nome, e-mail, número de telefone, localização. Envios sem essas informações não serão considerados.
  • NOTA IMPORTANTE. Você só pode fazer o envio inicial através do formulário. Se você tiver alguma dúvida não mencionada no formulário, envie um e-mail para [e-mail protegido].
  • O DoS é estritamente proibido.
  • Qualquer forma de força bruta de credenciais é estritamente proibida.
  • É proibida a divulgação pública de uma vulnerabilidade relatada antes de corrigida.
  • Você não pode destruir ou degradar nosso desempenho ou violar a privacidade ou integridade de nossos usuários e seus dados.
  • A exploração de vulnerabilidades (que não sejam uma PoC genérica) é estritamente proibida e será processada de acordo com a lei aplicável.
  • Se uma vulnerabilidade fornecer acesso não intencional aos dados, você deve
    • Limitar a quantidade de dados que você acessa ao mínimo necessário para demonstrar efetivamente uma Prova de Conceito; e
    • Parar de testar e
    • Enviar um relatório imediatamente se encontrar quaisquer dados do usuário durante o teste, como Informações de identificação pessoal (PII), Informações pessoais de saúde (PHI), dados de cartão de crédito ou informações
      proprietárias.
  • A Bentley não responderá por extorsão ou outros atos criminosos e coercivos (por exemplo, demandas de pagamento adiantado em troca de não explorar uma vulnerabilidade encontrada.

A menos que informado de outra forma por nossa equipe de que a vulnerabilidade foi resolvida, retenha a divulgação pública da vulnerabilidade por 90 dias. Não fazer isso resultará em ação legal.

Somente o primeiro pesquisador a relatar um problema ou problemas semelhantes será considerado sob esta política. Isso inclui relatórios do mesmo problema em ambientes diferentes (por exemplo, dev-, qa-, prod-)

Assim que seu envio for recebido:

  • A vulnerabilidade relatada será analisada.
  • Se determinarmos que o envio é válido e atende aos requisitos desta política, você poderá receber uma remuneração.
  • Você será informado quando o problema for corrigido.
Exemplos de Vulnerabilidade Faixa de preço (USD)**
Controle de acesso Brocken (escalonamento de privilégios) 200-400
Problemas de lógica de negócios 100-300
Compartilhamento de recursos entre origens (CORS) 100-200
Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF) 100-200
Cross-Site Scripting (XSS) 50-150
Passagem de diretório 100-200
Sequestro de DLL 100-200
Injeção de hiperlink 50
Identificação e autenticação 200-400
Referência de objeto direto inseguro (IDOR) 200-400
Redirecionamento aberto 50-150
Outros 0-500
Execução remota de código 500
Configuração incorreta de segurança 50-200
Exposição de dados confidenciais 50-500
Configuração incorreta da sessão 50-150
Injeção SQL 200-400
**Observe que várias instâncias do mesmo problema só serão remuneradas até um máximo de 3x o preço.

**Relatórios de um problema em diferentes ambientes do produto (dev-, qa-, prod-) serão contados como um.

Reservamo-nos o direito de alterar esta política a qualquer momento e por qualquer motivo, e não podemos garantir remuneração por todos os relatórios. A remuneração é fornecida apenas através do PayPal. 

IMPORTANTE. Certifique-se de enviar apenas um endereço válido do PayPal: não poderemos considerar endereços diferentes do original para pagamento. Se a transação falhar por qualquer motivo (ou seja, PayPal recusa a transação; o banco receptor não pode aceitar o pagamento; limite máximo de valor for atingido, aceitação de pagamentos apenas através do site ou outras instruções, etc.), o pagamento será cancelado e não será reenviado.

A Bentley Systems reserva-se o direito de retirar o Programa de Divulgação Responsável e seu sistema de compensação a qualquer momento, sem aviso prévio.

20% de desconto em software da Bentley

A oferta termina na sexta-feira

Use o código de cupom "THANKS24"

Comemore a excelência na entrega e no desempenho da infraestrutura

Year in Infrastructure e Going Digital Awards 2024

Indique um projeto para os prêmios de maior prestígio em infraestrutura! O prazo estendido para participar é 29 de abril.