Ανακαλύψατε ένα κενό ασφαλείας;

Ενημερώστε μας

Κενά ασφαλείας που εντοπίστηκαν στα προϊόντα ή στους ιστότοπους της ESET

Εάν πιστεύετε ότι έχετε ανακαλύψει ένα κενό ασφαλείας σε οποιοδήποτε προϊόν της ESET ή εφαρμογή web ενημερώστε μας εμπιστευτικά μέσω του security@eset.com.

Εάν πιστεύετε ότι έχετε ανακαλύψει ένα κενό ασφαλείας σε οποιοδήποτε προϊόν της ESET ή εφαρμογή web, ενημερώστε μας εμπιστευτικά.

ΕΝΗΜΕΡΩΣΤΕ ΜΑΣ

Πριν υποβάλετε μια αναφορά, διαβάστε την ενότητα Πολιτική Αναφορών και Εκτός Πεδίου Εφαρμογής. Όταν υποβάλλεται κάποια αναφορά, τα συστήματά μας αποστέλλουν μια αυτόματη απάντηση σε αυτόν που την υπέβαλε. Η αναφορά αναμένει έλεγχο από έναν ειδικό ασφαλείας. Εντός τριών εργάσιμων ημερών, ένας ειδικός ασφαλείας θα στείλει τα σχόλιά του αγορά μέσω του security@eset.com. Στόχος μας είναι να παρέχουμε μια επιδιόρθωση για επιβεβαιωμένα τρωτά σημεία εντός 90 ημερολογιακών ημερών από την δημοσιοποίηση. Όσοι έχουν υποβάλει επιβεβαιωμένες και διορθωμένες αναφορές τρωτών σημείων, αμείβονται με διάφορα δώρα.

Κατά την αξιολόγηση της ευπάθειας, χρησιμοποιήστε την πιο πρόσφατη έκδοση του CVSS - θα δώσουμε προτεραιότητα στην απάντησή μας με βάση αυτή τη βαθμολογία CVSS ή τη διανυσματική συμβολοσειρά.

Ως CNA για τα ισχύοντα κενά ασφαλείας στα προϊόντα μας, η ESET θα δεσμεύσει αυτόματα ένα CVE ID.

Παρακαλούμε λάβετε υπόψη ότι δεν θα εκκινήσουμε διαδικασίες έρευνας νομικής φύσεως ή οποιαδήποτε αγωγή εναντίον σας σε ό,τι αφορά το περιεχόμενο της αναφοράς.

Ευαίσθητες και προσωπικές πληροφορίες

Μην επιχειρήσετε ποτέ να αποκτήσετε πρόσβαση σε ευαίσθητα ή προσωπικά δεδομένα. Εάν λάβετε ευαίσθητες ή προσωπικές πληροφορίες κατά τη διάρκεια της έρευνας ασφάλειας, ακολουθήστε αυτά τα βήματα:

- ΣΤΑΜΑΤΗΣΤΕ αμέσως την έρευνα ή τις ενέργειές σας που αφορούν ευαίσθητες ή προσωπικές πληροφορίες

- ΜΗΝ αποθηκεύετε, αντιγράφετε, αποκαλύπτετε, μεταφέρετε ή κάνετε οποιαδήποτε ενέργεια που σχετίζεται με τις ευαίσθητες ή προσωπικές πληροφορίες

- ΕΙΔΟΠΟΙΗΣΤΕ άμεσα και στηρίξτε μας στην προσπάθεια μείωσης των επιπτώσεων

Τρωτά σημεία εκτός πεδίου εφαρμογής

Αναφορές από αυτοματοποιημένα εργαλεία ή σαρώσεις
Επιθέσεις άρνησης υπηρεσίας
Επιθέσεις "man in the middle"
Επιθέσεις που απαιτούν φυσική πρόσβαση στη συσκευή του χρήστη
Υποθετικά θέματα που δεν έχουν κανένα πρακτικό αντίκτυπο
Δημόσια πεδία σύνδεσης χωρίς απόδειξη εκμετάλλευσης
Ευρήματα που προέρχονται κυρίως από κοινωνική μηχανική (π.χ. phishing, vishing, smishing) και άλλες μη τεχνικές επιθέσεις
Ενημερωτικά ζητήματα σοβαρότητας & χαμηλής σοβαρότητας
Spamming
Clickjacking και ζητήματα εκμεταλλεύσιμα μόνο μέσω clickjacking.
Δημοσιοποίηση δακτυλικών αποτυπωμάτων / banner σε κοινές/δημόσιες υπηρεσίες.
Ζητήματα διαμόρφωσης αλληλογραφίας (SPF, DKIM, ρυθμίσεις DMARC)
Περιγραφικά μηνύματα σφάλματος (π.χ. ίχνη στοίβας, σφάλματα εφαρμογής ή διακομιστή)
Κωδικοί/σελίδες HTTP 404 ή άλλοι κωδικοί/σελίδες HTTP εκτός 200.
Αποκάλυψη γνωστών δημόσιων ή μη ευαίσθητων αρχείων ή καταλόγων, (π.χ. robots.txt,crossdomain.xml ή οποιωνδήποτε άλλων αρχείων πολιτικής, παρουσία χαρακτήρων μπαλαντέρ/λανθασμένη διαμόρφωση σε αυτά).
Ενεργοποιήθηκε η μη τυπική μέθοδος HTTP
Λείπουν κεφαλίδες ασφαλείας (όπως Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
Έλλειψη επισημάνσεων Secure/HTTP Only/SameSite σε μη ευαίσθητα cookies.
Ανοιχτή ανακατεύθυνση που δεν μπορεί να χρησιμοποιηθεί για την εξαγωγή ευαίσθητων πληροφοριών (cookies περιόδου λειτουργίας, διακριτικά OAuth)
Προβλήματα διαχείρισης με πολλαπλές ταυτόχρονες ενεργές συνεδρίες
Επιθέσεις host-header injection
Self-XSS και ζητήματα εκμεταλλεύσιμα μόνο μέσω του Self-XS
CSRF σε φόρμες που είναι διαθέσιμες σε ανώνυμους χρήστες (π.χ. τη φόρμα επικοινωνίας).
CSRF κατά την αποσύνδεση
Παρουσία λειτουργίας «αυτόματη συμπλήρωση» ή «αποθήκευση κωδικού πρόσβασης» σε εφαρμογή ή web browser.
Επίθεση brute force σε σελίδα απώλειας κωδικού πρόσβασης, χωρίς να επιβληθεί κλείδωμα λογαριασμού.
Προσπάθεια εύρεσης όνομα χρήστη / email χωρίς περαιτέρω επιπτώσεις
Ζητήματα περιορισμού ποσοστού
Αδύναμο Captcha / Παράκαμψη Captcha
Χρήση μιας γνωστής ευάλωτης βιβλιοθήκης χωρίς περιγραφή ενός exploit ειδικά για τη δική μας υλοποίηση
Ζητήματα SSL (παράδειγμα: αδύναμη/ανασφαλής κρυπτογράφηση, BEAST, BREACH, επίθεση επαναδιαπραγμάτευσης κ.λπ.)

Πολιτική αναφοράς

Επικοινωνήστε μαζί μας μέσω του security@eset.com
Οι αναφορές και όλο το σχετικό υλικό κρυπτογραφούνται με δημόσιο κλειδί PGP
Συμπεριλάβετε την εταιρεία και το όνομά σας
Γράψτε μια σαφή περιγραφή του πιθανού κενού ασφαλείας
Προσθέστε όλες τις πληροφορίες που απαιτούνται για την επικύρωση του πιθανού κενού ασφαλείας
Συμπεριλάβετε την έκδοση προϊόντος και μονάδας της ESET (δείτε KB σχετικά με την εύρεση εκδόσεων προϊόντος και μονάδας) για αναφορές που σχετίζονται με το προϊόν
Οι αναφορές που σχετίζονται με το προϊόν θα πρέπει να περιέχουν ένα αρχείο καταγραφής από το ESET SysInspector εάν υπάρχει
Proof of Concept – παρέχετε όσο το δυνατόν λεπτομερέστερη περιγραφή, συμπεριλαμβανομένων στιγμιότυπων οθόνης ή βίντεο (επισημάνετέ το ως ιδιωτικό όταν το μεταφορτώσετε σε υπηρεσίες ροής)
Οι προτάσεις μετριασμού εκτιμώνται ιδιαίτερα
Συμπεριλάβετε τον αντίκτυπο που αναμένετε να έχει το πιθανό κενό ασφαλείας στους χρήστες, τους υπαλλήλους της ESET ή άλλους
Ζητάμε από αυτόν που υποβάλει την αναφορά να διατηρήσει εμπιστευτική οποιαδήποτε επικοινωνία σχετικά με το κενό ασφαλείας
Ενημερώστε για τυχόν σχέδια αποκάλυψης και συντονιστείτε μαζί μας
Το κείμενο πρέπει να είναι γραμμένο στην αγγλική γλώσσα