Programa de Divulgação de Vulnerabilidades Jotform

Na Jotform, garantir a privacidade e segurança dos dados de nossos usuários é uma de nossas principais prioridades. Por isso, se você acredita ter descoberto uma vulnerabilidade capaz de afetar qualquer produto Jotform, reporte-a para nós de acordo com as diretrizes abaixo. Valorizamos o impacto positivo do seu trabalho e agradecemos antecipadamente pela sua contribuição.

Continue lendo para obter mais informações sobre nosso programa PDV, bem como seus requisitos.

Ver Regras

Resposta

Jotform não fornece nenhuma meta de resposta para este programa.

Política de Divulgação

  • Notifique-nos após descobrir um problema de segurança real ou potencial.
  • Envie uma descrição textual clara da vulnerabilidade, juntamente com os passos necessários para reproduzi-la.
  • Para que o relatório de vulnerabilidade seja compreensível, você pode incluir anexos como vídeos, capturas de tela ou códigos como prova de conceito, conforme necessário.
  • Não faça mais mal do que bem. Você não deve deixar sistemas ou usuários em um estado mais vulnerável do que quando os encontrou. Você não deve se envolver em testes ou atividades relacionadas que degradem, danifiquem ou destruam informações em nossos sistemas ou que possam afetar nossos usuários. Ao pesquisar uma vulnerabilidade, se você não tiver certeza se deve continuar, entre imediatamente em contato com a equipe de Segurança da Jotform.

Escopo

Sistemas de informação publicamente acessíveis, propriedades da web ou dados pertencentes, operados ou controlados pela Jotform.

Vulnerabilidades Não Elegíveis

  • Tabnabbing.
  • Clickjacking/UI-redressing ou problemas exploráveis apenas por meio de clickjacking.
  • Redirecionamento aberto - a menos que possa ser demonstrado um impacto adicional à segurança (como o roubo de um token de autenticação, chaves de API, etc.).
  • Ataques de negação de serviço (DDoS).
  • Self-XSS sem um cenário de ataque razoável.
  • Injeção de HTML aos e-mails a serem enviados através das ferramentas Jotform.
  • Impressões digitais em serviços comuns/públicos.
  • Divulgação de arquivos ou diretórios públicos conhecidos (robots.txt, sitemap.xml).
  • Divulgação de informações sem impacto considerável.
  • Problemas com configurações de versão SSL/TLS, cifras fracas ou certificados expirados.
  • Ataques Cross-site Request Forgery (CSRF) com implicações mínimas em termos de segurança (Login/Logout CSRF).
  • Problemas relacionados aos protocolos SPF/DKIM/DMARC.
  • Cabeçalhos de segurança ausentes ou incorretamente configurados (CSP, HSTS) que não representam diretamente uma vulnerabilidade.
  • Ausência de sinalizadores Secure ou HTTPOnly nos cookies.
  • Divulgação de versão de software vulnerável sem prova de explorabilidade.
  • Relatórios de ferramentas automatizadas.
  • Injeção de CSV (Comma-separated Values).
  • Metadados EXIF não removidos de imagens.
  • Ataques de força bruta.
  • Cenários que exigem interações improváveis do usuário e/ou versões de software ou OS desatualizadas.
  • Ataques que exigem um intermediário (Man-in-the-middle, ou MITM) ou acesso físico ao dispositivo do usuário.
  • Bugs que não representam qualquer ameaça à segurança.

Nossas Prioridades Incluem

  • Exposição de Dados Confidenciais
  • Execução Remota de Código (RCE)
  • Server-Side Request Forgery (SSRF)
  • Cross-site Scripting (XXS)
  • Cross-site Request Forgery (CSRF)
  • Injeção de SQL
  • Ataques de Entidades Externas XML (XXE)
  • Vulnerabilidades de Controle de Acesso (Referências Inseguras Diretas a Objeto, Escalonamento de Privilégios, Acesso Interrompido, etc.)
  • Problemas de Travessia de Diretório

Regras do Programa

  • Nunca use nenhuma de suas descobertas para comprometer o sistema, extrair dados ou migrar para outros sistemas. Envie seu relatório imediatamente após a descoberta de uma vulnerabilidade.
  • Caso você se depare com informações confidenciais, como informações pessoais, credenciais, etc., durante a avaliação; não salve, copie, armazene, transfira, divulgue ou retenha estes dados ou informações pessoais.
  • Não execute ataques de engenharia social, phishing e segurança física contra os escritórios, usuários ou funcionários da Jotform.
  • É estritamente proibido divulgar quaisquer vulnerabilidades sem permissão explícita por parte da Jotform.
  • Seja respeitoso durante suas interações com nossa equipe.

Caso não siga as regras, você pode ser banido do Programa de Divulgação de Vulnerabilidades da Jotform.

Jotform reserva-se o direito de modificar as regras deste programa ou considerar qualquer envio inválido a qualquer momento. Não há recompensa monetária associada ao Programa de Divulgação de Vulnerabilidades. Jotform pode descontinuar o Programa de Divulgação de Vulnerabilidades a qualquer momento sem aviso prévio.

Evidenciação

Observe que não há SLA associado ao programa de divulgação de vulnerabilidades e as respostas aos seus relatórios ficam a critério exclusivo da Jotform. Independente de você receber uma resposta nossa ou não, este programa não permite a divulgação de sua parte a terceiros. Você não pode divulgar publicamente informações sobre vulnerabilidades encontradas neste programa, nem compartilhar suas descobertas com outros pesquisadores de segurança.

Proteção

Qualquer atividade conduzida em conformidade com esta política será considerada conduta autorizada. Caso alguma ação judicial relacionada às atividades conduzidas sob esta política seja iniciada contra você por um terceiro, tomaremos as medidas necessárias para informar que suas ações foram conduzidas em conformidade com esta política.

Obrigado por ajudar a manter nossas ferramentas e usuários seguros!