Relatório de vulnerabilidade

Como relatar suspeitas de vulnerabilidades

Para que possamos responder com mais eficácia ao seu relatório, forneça qualquer material de suporte (código de prova de conceito, saída da ferramenta etc.) que seja útil para nos ajudar a entender a natureza e a gravidade da vulnerabilidade.

Escopo do Amazon CNA

O Amazon CNA emitirá CVEs que ajudam clientes a lidar com vulnerabilidades de segurança válidas nas seguintes classes:

  • Serviços da AWS fornecidos pela AWS e disponíveis publicamente aos clientes (por exemplo, o Amazon EC2 ou o Amazon RDS).
  • Serviços da Amazon fornecidos pela Amazon e disponíveis publicamente aos clientes (por exemplo, o serviço de API de vendedores da Amazon.com).
  • Software de código aberto em uma organização do GitHub gerenciada pela Amazon ou pela AWS.
  • Software-cliente publicado pela Amazon ou pela AWS e disponível para download em um site ou local de download de nossa propriedade e operado por nós (por exemplo, um cliente do Amazon Appstore SDK, Amazon Input SDK, Amazon Kindle App, Amazon MShop App ou Amazon WorkSpaces).
  • Dispositivos fabricados pela Amazon ou pela AWS e disponíveis aos clientes para compra e uso (por exemplo, Amazon Fire TV, dispositivos Amazon Echo, Amazon Kindle ou AWS Outpost).

Além disso, todos os requisitos abaixo devem ser atendidos:

  • Impacto no cliente: o problema deve existir em uma classe de propriedade da Amazon ou da AWS disponível publicamente para os clientes; E
  • Agência do cliente: a correção de problemas de produtos compatíveis ou de EOL/EOS exige a ação do cliente, incluindo a tomada de uma decisão baseada em riscos sobre como lidar com a remediação (OU os clientes precisam avaliar o possível impacto) OU quando uma vulnerabilidade de segurança válida se tornará pública (OU tem o potencial de se tornar pública); E
  • Pontuação CVSS: 4,0 (MÉDIA) ou superior.

Problemas de serviços, software ou hardware que não são considerados uma vulnerabilidade incluem, mas não estão limitados a:

  • A configuração não padrão ou alterações feitas usando credenciais válidas que foram autorizadas corretamente;
  • Direcionar ativos de clientes da Amazon ou AWS (ou de sites que não sejam da AWS hospedados na nossa infraestrutura);
  • Qualquer vulnerabilidade obtida através do comprometimento de contas de cliente ou colaborador da Amazon ou AWS;
  • Qualquer ataque de negação de serviços (DoS) contra produtos da Amazon ou da AWS (ou clientes da Amazon ou da AWS);
  • Ataques físicos contra funcionários, escritórios e data centers da Amazon ou AWS;
  • Engenharia social de funcionários, empresas contratadas, fornecedores ou prestadores de serviço da Amazon ou AWS;
  • Publicar, transmitir, fazer upload, enviar links ou malware de forma intencional;
  • Procurar vulnerabilidades que enviem mensagens em massa não solicitadas (spam).

Relatos de vulnerabilidade da AWS

A AWS tem o compromisso de ser dinâmica e manter você informado sobre o nosso progresso. Você receberá uma resposta não automática confirmando o recebimento de seu relatório inicial em 24 horas, atualizações periódicas e check-ins mensais durante todo o contrato. Você pode solicitar atualizações a qualquer momento, e agradecemos quaisquer diálogos que esclareçam qualquer preocupação ou coordenação de divulgação.

As atividades consideradas não uma vulnerabilidade acima também estão fora do escopo do Programa de Divulgação de Vulnerabilidades da AWS. A condução de qualquer uma das atividades mencionadas acima resultará na desqualificação permanente do programa.

Notificação pública

Se for aplicável, a AWS coordenará a notificação pública de qualquer vulnerabilidade validada com você. Quando possível, preferimos que nossas respectivas divulgações públicas sejam publicadas simultaneamente.

Para proteger nossos clientes, a AWS solicita que você não publique nem compartilhe informações sobre uma vulnerabilidade potencial em qualquer ambiente público até que tenhamos tratado da vulnerabilidade relatada e os clientes tenham sido informados, conforme necessário. Além disso, pedimos respeitosamente que você não publique nem compartilhe nenhum dado pertencente a nossos clientes. Observe que o tempo necessário para mitigar uma vulnerabilidade depende da gravidade da vulnerabilidade e dos sistemas afetados.

As notificações públicas da AWS são feitas na forma de boletins de segurança, os quais são publicados no site de Segurança da AWS. Indivíduos, empresas e equipes de segurança normalmente publicam informes nos seus próprios sites e em outros fóruns e, quando for relevante, incluiremos links para estes recursos de terceiros nos boletins de segurança da AWS.  

Safe Harbor

Acreditamos que a pesquisa de segurança realizada com boa fé deva receber o certificado de conformidade com a política de Safe Harbor. Para garantir a conformidade com a política de Safe Harbor em pesquisas de segurança e relatórios de vulnerabilidades, adotamos o Gold Standard Safe Harbor. Estamos ansiosos para colaborar com pesquisadores da área de segurança que compartilham nossa dedicação à proteção de nossos clientes.

O Gold Standard Safe Harbor oferece suporte à proteção de organizações e hackers envolvidos em pesquisas de segurança realizadas com boa-fé. Uma “pesquisa de segurança realizada com boa-fé” envolve o acesso a um computador exclusivamente para fins de testes, investigações ou correções de falhas ou vulnerabilidades de segurança, quando essas atividades são realizadas de forma a evitar qualquer dano a indivíduos ou ao público e de maneira que as informações obtidas sejam utilizadas, principalmente, para promover a segurança ou a proteção da classe de dispositivos, máquinas ou serviços on-line a que pertence o computador acessado ou das pessoas que utilizam esses dispositivos, máquinas ou serviços on-line.

Consideramos que a pesquisa de segurança realizada com boa-fé é uma atividade autorizada e protegida contra ações legais adversas por nossa parte. Renunciamos a qualquer restrição relevante em nossos Termos de Serviço (“TOS”, na sigla em inglês) e Políticas de uso aceitável (“AUP”, na sigla em inglês) que entre em conflito com o padrão para a pesquisa de segurança realizada com boa-fé descrito no presente documento.

Isso significa que, para atividades conduzidas enquanto este programa estiver ativo, nós:

  • Não apresentaremos com ações legais contra você nem denunciaremos você pela condução de uma pesquisa de segurança realizada com boa-fé, mesmo se você contornar as medidas tecnológicas que usamos para proteger as aplicações no escopo; e,
  • Tomaremos providências para divulgar que você conduziu uma pesquisa de segurança realizada com boa-fé caso outra pessoa apresente uma ação legal contra você.

Recomendamos que você entre em contato conosco para esclarecer dúvidas antes de realizar qualquer atividade que possa ser considerada incompatível com a pesquisa de segurança realizada com boa-fé ou não contemplada por nossa política.

Tenha em mente que não podemos autorizar pesquisas de segurança em infraestrutura de empresas externas, e uma empresa externa não está sujeita a esta declaração de Safe Harbor.

Política de divulgação

Após o envio do relatório, iniciaremos o processo de validação da vulnerabilidade relatada. Se informações adicionais forem necessárias para validar ou reproduzir o problema, colaboraremos com você para obtê-las. Quando a investigação inicial estiver completa, os resultados serão entregues a você em conjunto com um plano para resolução e discussão sobre a divulgação pública.

Alguns pontos a serem observados sobre o processo:

  1. Produtos de empresas externas: se a vulnerabilidade for encontrada em produtos de empresas externas, notificaremos o proprietário da tecnologia afetada. Continuaremos a coordenar a comunicação entre você e a empresa externa. Sua identidade não será divulgada para a empresa externa sem sua permissão.
  2. Confirmação de que não há vulnerabilidades: se o problema não for validado ou não estiver dentro do escopo, essa informação será compartilhada com você.
  3. Classificação de vulnerabilidades: usamos a versão 3.1 do Common Vulnerability Scoring System (CVSS) para avaliar as vulnerabilidades potenciais. A pontuação resultante ajuda a quantificar a gravidade do problema e a priorizar nossa resposta. Para obter mais informações sobre o CVSS, consulte o site do NVD.

Ao participar do nosso programa de divulgação de vulnerabilidades com boa-fé, solicitamos que você:

  • Respeite as regras, incluindo seguir esta política e quaisquer outros acordos pertinentes. Se houver alguma inconsistência entre essa política e quaisquer outros termos aplicáveis, os termos dessa política prevalecerão;
  • Relate qualquer vulnerabilidade que você tenha descoberto imediatamente;
  • Evite violar a privacidade de outras pessoas, interromper nossos sistemas, destruir dados e/ou prejudicar a experiência do usuário;
  • Use somente os canais mencionados anteriormente para discutir informações sobre vulnerabilidades conosco;
  • Forneça um período de tempo razoável a partir do relatório inicial para resolver o problema antes de divulgá-lo publicamente;
  • Realize testes somente em sistemas dentro do escopo e respeite os sistemas e atividades que não fazem parte dele;
  • Se uma vulnerabilidade fornecer acesso não intencional aos dados: limite a quantidade de dados que você acessa ao mínimo necessário para demonstrar com eficácia uma prova de conceito; interrompa os testes e envie um relatório imediatamente se encontrar algum dado de usuário durante o teste, como informações de identificação pessoal (PII), informações pessoais de saúde (PHI), dados de cartão de crédito ou outras informações confidenciais;
  • Somente interaja com contas de teste que sejam de sua propriedade ou para as quais você tenha permissão explícita do titular da conta; e
  • Não se envolva em práticas de extorsão.
Entre em contato com um representante comercial da AWS
Dúvidas? Entre em contacto com um representante comercial da AWS
Você está explorando funções de segurança?
Inscreva-se hoje »
Você quer ficar atualizado sobre a segurança da AWS?
Siga-nos no Twitter »