Introdução
Na LemFi, dedicamo-nos a aprimorar nossa postura de segurança. Esta Política de Divulgação de Vulnerabilidades é publicada pela Pomelo Technology US Inc. (registrada em 251 Little Falls Drive, Wilmington, DE 19808, EUA) e aplica-se a ela e ao seu grupo de empresas e subsidiárias (em conjunto, "LemFi", "nós" ou "nossos"). Agradecemos o feedback de pesquisadores de segurança e do público em geral. Se você acredita ter descoberto uma vulnerabilidade, problema de privacidade, dados expostos ou qualquer outro problema de segurança relacionado aos nossos ativos, entre em contato conosco seguindo a política descrita abaixo.
Sistemas em Escopo
Esta política aplica-se aos ativos digitais detidos, operados ou mantidos pela LemFi, que estão listados abaixo.
Ativos abrangidos:
Fora do escopo
Vulnerabilidades descobertas ou suspeitas em sistemas fora do escopo devem ser comunicadas ao fornecedor apropriado ou à autoridade competente.
Os itens a seguir estão fora do escopo e não devem ser testados de acordo com esta política:
- Qualquer sistema, ativo, infraestrutura ou serviço que não esteja expressamente listado em Sistemas no Escopo acima;
- infraestrutura, software ou serviços detidos, operados ou alojados por terceiros (incluindo os nossos fornecedores de pagamento, KYC, bancários, de nuvem e outros), mesmo quando utilizados para prestar os nossos serviços;
- Ambientes de sandbox, homologação, teste, pré-produção e demonstração;
- Sistemas de TI corporativos da LemFi, redes internas, contas de funcionários e sistemas de e-mail ou mensagens;
- Páginas de destino de marketing da LemFi, contas de mídia social e canais de suporte ao cliente;
- segurança física de quaisquer instalações ou funcionários da LemFi.
As seguintes categorias de problemas estão fora do escopo e não serão aceitas como relatórios válidos:
- engenharia social, phishing ou qualquer ataque com pretexto contra funcionários, contratados, clientes ou parceiros da LemFi;
- testes de negação de serviço ou volumétricos, incluindo testes de estresse, carga e exaustão de recursos;
- descobertas que exigem um dispositivo com acesso root, jailbreak ou comprometido de alguma outra forma, ou um navegador ou sistema operacional desatualizado;
- Ausência de cabeçalhos de segurança, cifras fracas, problemas de configuração de certificados e outras constatações semelhantes de boas práticas sem impacto comprovado na segurança;
- XSS auto-excessivo, clickjacking em páginas sem ações sensíveis e outras questões teóricas sem uma prova de conceito funcional;
- vulnerabilidades em softwares ou bibliotecas de terceiros, a menos que você possa demonstrar o impacto explorável em um ativo LemFi abrangido pelo escopo.
Nossos Compromissos
Ao trabalhar conosco em conformidade com esta política, você pode esperar que:
- Responderemos prontamente ao seu relatório e trabalharemos com você para entender e validar o que você relatou;
- Manter você informado sobre o progresso da correção de uma vulnerabilidade à medida que ela é processada;
- Trabalhar para remediar as vulnerabilidades descobertas em tempo hábil, dentro de nossas restrições operacionais; e
- Estenda a proteção legal (Safe Harbor) para sua pesquisa de vulnerabilidades relacionada a esta política.
Esta política conta com o apoio do nosso parceiro, Inspectiv, que fará a triagem das vulnerabilidades válidas. Para os relatórios considerados vulnerabilidades verdadeiras, a Inspectiv facilitará o pagamento de uma recompensa monetária ao pesquisador em nosso nome, com o valor incluído na plataforma deles.
Nossas expectativas
Ao participar de boa-fé em nosso programa de divulgação de vulnerabilidades, pedimos que você:
- Respeite as regras, incluindo o cumprimento desta política e de quaisquer outros acordos relevantes. Em caso de inconsistência entre esta política e nossos Termos de Serviço ou Política de Uso Aceitável em relação à pesquisa de segurança autorizada conduzida de acordo com esta política, esta política prevalecerá.
- Reporte imediatamente qualquer vulnerabilidade que você descobrir;
- Evite violar a privacidade de terceiros, interromper nossos sistemas, destruir dados e/ou prejudicar a experiência do usuário;
- Evite testes volumétricos ou testes que possam resultar na recusa do serviço;
- Utilize apenas os canais oficiais (indicados abaixo) para discutir informações sobre vulnerabilidades conosco;
- Conceda-nos um prazo razoável (no mínimo 90 dias, ou um período mais longo que possamos razoavelmente solicitar por escrito, caso a correção exija mais tempo) a partir do relatório inicial para resolver o problema antes de divulgá-lo publicamente, e mantenha o relatório e quaisquer informações obtidas durante sua pesquisa estritamente confidenciais até que esse período tenha decorrido e a vulnerabilidade tenha sido corrigida;
- Realize testes apenas nos sistemas que estão dentro do escopo e respeite os sistemas e atividades que estão fora do escopo;
- Não realize testes que violem quaisquer leis ou regulamentos aplicáveis, nem interrompam ou comprometam quaisquer dados que não sejam seus;
- Se uma vulnerabilidade proporcionar acesso não intencional a dados: limite a quantidade de dados a que tem acesso ao mínimo necessário para demonstrar eficazmente uma Prova de Conceito; e interrompa os testes e submeta um relatório imediatamente se encontrar quaisquer dados de utilizador durante os testes, tais como Informações de Identificação Pessoal (IIP), Dados Pessoais (conforme definido no Regulamento Geral de Proteção de Dados do Reino Unido e da UE/EEE), dados de cartões de crédito ou informações proprietárias. Não deve reter, copiar, armazenar, transferir, divulgar, vender ou utilizar de qualquer outra forma esses dados para qualquer finalidade, e deve apagá-los ou destruí-los de forma segura (e quaisquer cópias) assim que (a) recebermos o seu pedido por escrito e (b) confirmarmos que a vulnerabilidade foi corrigida, o que ocorrer primeiro.
- Você só deve interagir com contas de teste que sejam de sua propriedade ou com a permissão explícita do titular da conta;
- Não pratique extorsão; e
- Você não é, nem está agindo em nome de qualquer pessoa que seja, (i) localizada, residente habitual ou organizada em qualquer país ou território sujeito a sanções abrangentes administradas pelo Reino Unido, UE, EUA (OFAC) ou ONU, ou (ii) em qualquer lista de sanções ou partes restritas mantida por qualquer uma dessas autoridades.
Recompensas
Os envios do VDP não são elegíveis para pagamento de recompensa da Inspectiv, visite https://app.inspectiv.com/ para ver nossos programas de recompensa por bugs atuais.
Canais oficiais
Por favor, reporte problemas de segurança aqui: https://client.inspectiv.com/vdp/lemfi/submit-report
Por favor, forneça todas as informações relevantes. Quanto mais detalhes você fornecer, mais fácil será para nós analisar e resolver o problema.
Caso encontre algum problema ao submeter sua vulnerabilidade em nossa plataforma, entre em contato com programs@inspectiv.com e processaremos sua submissão por e-mail. Por favor, não entre em contato diretamente com nossos clientes, pois eles o encaminharão de volta para nós.
Porto Seguro
Ao realizar uma pesquisa de vulnerabilidades e seguir esta política, consideramos essa pesquisa como:
- A pesquisa autorizada destina-se aos fins das leis anti-hacking aplicáveis, e não iniciaremos nem apoiaremos ações legais contra você por violações acidentais e de boa-fé desta política;
- A pesquisa é autorizada para fins de conformidade com as leis anti-burla aplicáveis, e não tomaremos nenhuma medida legal contra você por burlar os controles tecnológicos;
- Isentos das restrições em nossos Termos de Serviço (TOS) e/ou Política de Uso Aceitável (AUP) que possam interferir na realização de pesquisas de segurança, e abrimos mão dessas restrições de forma limitada;
- Legal, benéfico para a segurança geral da Internet e conduzido de boa fé.
Como sempre, espera-se que você cumpra todas as leis aplicáveis. Caso uma ação judicial seja movida por terceiros contra você e você tenha cumprido esta política, tomaremos as medidas necessárias para deixar claro que suas ações foram conduzidas em conformidade com esta política. Da mesma forma, caso você não tenha cumprido esta política, também divulgaremos esse fato.
Se em algum momento você tiver dúvidas ou incertezas sobre se sua pesquisa de segurança está de acordo com esta política, envie um relatório por meio de um de nossos canais oficiais antes de prosseguir.
Note que a Cláusula de Porto Seguro aplica-se apenas a reivindicações legais sob o controle da organização participante desta política, e que a política não vincula terceiros independentes. Em particular, esta política não impede, nem pode impedir, a instauração de processos por qualquer autoridade competente ao abrigo de qualquer lei de direito público (incluindo, no Reino Unido, a Lei de Abuso de Computadores de 1990); o nosso compromisso é que a LemFi não iniciará nem apoiará tais processos contra si, caso tenha cumprido esta política.
Reserva de direitos. Nos casos em que a conduta viole esta política e também a legislação aplicável, reservamo-nos o direito de instaurar ou apoiar ações judiciais e de notificar as autoridades competentes. Nada nesta política limita quaisquer outros direitos ou recursos disponíveis.
Lei aplicável. Esta política e quaisquer obrigações extracontratuais dela decorrentes ou a ela relacionadas serão regidas pelas leis da Inglaterra e do País de Gales, e os tribunais da Inglaterra e do País de Gales terão jurisdição exclusiva para dirimir qualquer controvérsia decorrente desta política ou a ela relacionada.