Divulgação responsável de vulnerabilidades de segurança

Se você descobriu uma vulnerabilidade de segurança, agradeceríamos sua ajuda disponibilizando ela de forma responsável.

Iremos colaborar com você para garantir que entendemos a dimensão do problema e que partilhamos completamente a sua preocupação. Se você acredita haver descoberto uma vulnerabilidade ou tem um incidente de segurança para reportar, envie um e-mail para security@ifixit.com. Favor incluir um resumo detalhado da vulnerabilidade que você descobriu. Certifique-se de incluir um endereço de e-mail para que possamos contactá-lo(a) caso necessitemos de mais informações.

Por favor, aja de boa fé com a privacidade e os dados de usuários ao fazer sua divulgação. Ao testar vulnerabilidades, por favor, não insira códigos de ensaio em guias públicos populares - estes guias são usados diariamente por milhares de pessoas e perturbar sua experiência testando vulnerabilidades é prejudicial (por favor, comece sempre um novo guia ao invés disso!). Não abriremos um procedimento judicial ou administrativo contra você ou a sua conta se você atuar convenientemente: pesquisadores de chapéu branco são sempre bem-vindos.

Gostaríamos de retribuir a usuários que reportam vulnerabilidades de segurança válidas. Para qualificar-se para receber um crédito e uma retribuição, você precisa:

• ser a primeira pessoa a revelar o bug de forma responsável.
• reportar um bug que pode comprometer dados privados de nossos usuários, fazer a "circunvenção" das proteções do sistema ou fornecer acesso a um sistema de nossa infraestrutura.

Faça report de:

• cross-site scripting (XSS) persistente
• falsificação de solicitação entre sites, o Cross-site request forgery (CSRF/XSRF)
• broken authentication
• "circumvenção" da privacidade de nossa estrutura e de nossos modelos de permissão
• execução remota de código

Não faça report de:

• versões atrasadas do Wordpress com vulnerabilidades desconhecidas
• enumeração de nomes de usuários
• fraudes self-XSS
• registros DNS SPF ausentes

Nossa equipe de segurança irá avaliar cada bug a fim de determinar se ele constitui uma vulnerabilidade. Fazemos o melhor para responder a seu report em tempo hábil. Temos o objetivo de responder no prazo de 3 dias úteis, entretanto alguns reports demoram mais tempo para serem investigados do que outros. Enviamos uma resposta somente nos horários de funcionamento (9h00-17h00 PST, nos dias úteis, exceto feriados). O envio de e-mails de forma reiterada NÃO será respondido mais prontamente, e pode fazer seu report ir para o fim da fila.

Obrigado pelo seu apoio ao tornar a comunidade iFixit mais segura. Nós queremos realmente agradecer.

Aqui está o pessoal que divulgou vulnerabilidades de forma responsável no passado:

• Amine Hm
• Krishna Manoj Vandavasi
• Osama Ansari

• Suhas Sunil Gaikwad
• Milan A Solanki
• Yogesh Anil Tantak
• Daniel Bakker
• Maulik Shah
• Kevin Chung
• Eliran Itzhak
• Noman Shaikh
• Swapneil Kumar Dash

• Jineesh AK
• Sai Shanthan Palvai
• Muhammad Hassaan Khan
• David Dworken
• Swaroop Yermalkar
• Kacper Szurek
• Callum Carney
• Muhammad Osama
• Muhammad Zeeshan
• Hadji Samir

• Nitin Goplani
• Mohammed Abdulqader Al-saggaf
• Mohamed Abdelbaset Elnoby
• Mazen Gamal Mesbah
• Abhishek Dashora
• Kiran Karnad
• Eslam Medhat
• Karthic Kumar
• Jitendra Jaiswal
• Abdul Wasay
• Anand Prakash
• Rafael Pablos
• Robin Puri
• Tom Caserta
• Jerold Camacho
• Justine Edic
• Manish Bhattacharya
• Muhammad Talha Khan
• Atulkumar Hariba Shedage - Suruji.com
• Cedric Van Bockhaven
• Kamil Sevi
• Andris Atteka

• Clifford Trigo
• Osanda Malith Jayathissa
• Boris Miskovic
• Hood3dRob1n
• Rodolfo Godalle, Jr.
• Muhammad Shahmeer
• Ishan Anand
• Nicholas Lemonias - Advanced Information Security Corp
• CyberSecurityMV
• Ali Hasan Ghauri
• Ehraz Ahmed
• Enguerran Gillier
• Denis Kolegov
• Siddhesh Gawde
• Maheshkumar Rajubhai Darji
• Jordan Milne
• Sumit Shinde
• Andrei Miu - @bibz0r
• Yaroslav Olejnik - O.J.A.
• Sachin Kediyal
• Narendra Bhati - Web Security Geeks
• Jon - Bitquark
• Riaz Ebrahim
• Tejash Patel - @tejash1991
• Sasi Levi - @sasi2103
• Mahadev Subedi
• Sebastian Neef & Tim Schäfers - @internetwache
• Abhinav Karnawat - \/ w4rri0r \/
• Sabari Selvan - @EHackerNews
• Malte Batram - @_batram
• Priyal Viroja - aN0_pr!+Z
• Krutarth Shukla
• Himanshu Kumar Das
• Mariano Di Martino
• Ajay Singh Negi
• Piyush Malik - @ThePiyushMalik
• Ritesh Arunkumar Sarvaiya - defencely
• Kyle Swidrovich
• Yuji Kosuga
• Shashank Kumar
• Atulkumar Hariba Shedage - defencely
• Frans Rosén - @detectify
• Emanuel Bronshtein - @e3amn2l
• Jaume Llopis Pujal
• Kamil Sevi - @kamilsevi
• Simran Jeet Singh
• Tushar Kumbhare - Anti Hacking Anticipation Society
• Subho Halder - @sunnyrockzzs & Aditya Gupta - @adi1391

• Tushar Kumbhare - Anti Hacking Anticipation Society & Thamatam Deepak - Mr.47
• Jaume Llopis Pujal
• Jacob Soo Lead Re - @Gunther_AR
• Yuji Kosuga
• Adam Ziaja
• Alok. J. Sudhakar - @AnnonymizerAlok
• Adino Namchu
• Chiragh Dewan
• Rafay Baloch - http://rafayhackingarticles.net
• Himanshu Sharma - DCE, Gurgaon
• Krutarth Shukla
• Harsha Vardhan Boppana - Login Security Solutions
• Atulkumar Hariba Shedage - defencely
• Rakan Alotaibi - @hxteam
• Kamil Sevi - @kamilsevi
• Nikhil Kulkarni
• M.R.Vignesh Kumar
• Prajal Kulkarni
• Ajay Singh Negi
• Himanshu Kumar Das
• Elvin Gentiles
• Emanuel Bronshtein - @e3amn2l
• Maxim Rupp
• Avram Marius Gabriel - RandomStorm

• Matt Swann - @MSwannMSFT