Divulgação responsável

Na Taxi2airport.com, consideramos a segurança dos nossos sistemas uma prioridade máxima. Mas, independentemente do nosso esforço no sentido de garantir a segurança do sistema, ainda podem existir vulnerabilidades.

Caso detete alguma vulnerabilidade, pedimos que nos informe sobre a mesma, para que possamos encontrar uma solução o mais rapidamente possível. Gostaríamos de pedir a sua ajuda para melhorarmos a proteção dos nossos clientes e dos nossos sistemas.

Siga as seguintes instruções:

  • Envie o seu relatório, idealmente através de um e-mail encriptado (consulte a nossa chave pública PGP em https://keybase.io/transferz), para o seguinte endereço de e-mail: security@transferz.com,
  • Não utilize a vulnerabilidade ou o problema detetado para, por exemplo, descarregar mais dados do que os necessários, com o intuito de demonstrar a vulnerabilidade, nem para apagar ou modificar os dados de outras pessoas,
  • Não divulgue o problema a outros até que o mesmo tenha sido resolvido,
  • Não utilize ataques à segurança física, engenharia social, negação de serviço distribuído, spam ou aplicações de terceiros e
  • Forneça informação suficiente para reproduzir o problema, de maneira a que o possamos resolver o mais rapidamente possível. Normalmente, o endereço IP ou o URL do sistema afetado e uma descrição da vulnerabilidade serão suficientes, mas vulnerabilidades complexas podem exigir explicações adicionais.

O que prometemos:

  • Responderemos ao seu relatório no prazo de 10 dias úteis, com a nossa avaliação do relatório e uma data prevista para a sua resolução,
  • Se tiver seguido as instruções supramencionadas, não intentaremos qualquer ação judicial contra si no que diz respeito ao relatório,
  • O seu relatório será tratado com estrita confidencialidade e os seus dados pessoais não serão transmitidos a terceiros sem a sua autorização,
  • Iremos mantê-lo informado sobre a evolução da resolução do problema,
  • Na informação pública relativa ao problema relatado, indicaremos o seu nome como autor da deteção do problema (a menos que essa não seja a sua vontade) e
  • Esforçamo-nos por resolver todos os problemas o mais rapidamente possível e gostaríamos de desempenhar um papel ativo na publicação final sobre o problema após a sua resolução.

Tenha em atenção que atualmente já não oferecemos recompensas monetárias pela comunicação de vulnerabilidades de segurança.

Este texto foi redigido por Floor Terra e publicado com uma licença Creative Commons Attribution 3.0 Unported.