A Splashtop Inc., fornecedora líder de software e serviços de acesso remoto, está comprometida em garantir a segurança de nossos clientes. Nesse sentido, o Splashtop agora está formalizando nossa política para aceitar relatórios de vulnerabilidade em nossos produtos. Esperamos promover uma parceria aberta com a comunidade de segurança e reconhecemos que o trabalho que a comunidade realiza é importante para garantir a segurança de todos os nossos clientes.

Desenvolvemos essa política para refletir nossos valores corporativos e manter nossa responsabilidade legal com os pesquisadores de segurança de boa fé que estão fornecendo seus conhecimentos.

Postura Legal

A Splashtop Inc. não entrará em ação legal contra indivíduos que enviarem relatórios de vulnerabilidade por meio de nosso Formulário de relatório de vulnerabilidades. Aceitamos abertamente relatórios para os produtos Splashtop atualmente listados. Concordamos em não buscar ações legais contra indivíduos que:

  • Envolver-se em testes de sistemas / pesquisas sem prejudicar o Splashtop ou seus clientes
  • Participe de testes de vulnerabilidade dentro do escopo de nosso programa de divulgação de vulnerabilidades
  • Entre em contato com a Splashtop imediatamente se encontrar inadvertidamente dados do usuário. Não visualize, altere, salve, armazene, transfira ou acesse os dados e limpe imediatamente qualquer informação local ao relatar a vulnerabilidade ao Splashtop.
  • Respeite as leis de sua localização e a localização do Splashtop. Por exemplo, violar leis que resultariam apenas em uma reivindicação da Splashtop (e não em uma reivindicação criminal) pode ser aceitável, pois a Splashtop está autorizando a atividade (engenharia reversa ou contornar medidas de proteção) para melhorar seu sistema.
  • Abstenha-se de divulgar detalhes da vulnerabilidade ao público antes que um prazo mutuamente acordado expire

Critérios de preferência, priorização e aceitação

Usaremos os seguintes critérios para priorizar e fazer a triagem de envios.

O que gostaríamos de ver de você:

  • Relatórios bem escritos em inglês terão maiores chances de resolução.
  • Os relatórios que incluem código de prova de conceito nos equipam para uma melhor triagem.
  • Relatórios que incluem apenas despejos de memória ou outra saída automatizada de ferramenta podem receber prioridade mais baixa.
  • Relatórios que incluem produtos que não estão na lista de escopo inicial podem receber prioridade mais baixa.
  • Inclua como você encontrou o bug, o impacto e qualquer possível correção.
  • Informe-nos se você gostaria de trabalhar conosco para divulgar uma vulnerabilidade. Faremos um esforço honesto para trabalhar com você na divulgação de vulnerabilidades sempre que possível.

O que você pode esperar de nós:

  • Você receberá um feedback sobre o envio dentro de três dias úteis após a triagem.
  • Após a triagem, enviaremos um cronograma esperado e nos comprometemos a ser o mais transparente possível sobre o cronograma de correção, bem como sobre problemas ou desafios que possam estendê-lo.
  • Uma caixa de diálogo aberta para discutir problemas.
  • Notificação quando a análise de vulnerabilidade concluir cada etapa de nossa revisão.

Se não conseguirmos resolver problemas de comunicação ou outros problemas, o Splashtop poderá contratar terceiros neutros (como CERT / CC, ICS-CERT ou o regulador relevante) para ajudar a determinar a melhor forma de lidar com a vulnerabilidade.

Como enviar uma vulnerabilidade

Para enviar um relatório de vulnerabilidade para a Equipe de segurança do produto da Splashtop, preencha as seguintes informações:

Notas da versão

Versão 1.0: Política de divulgação responsável criada (05/12/2020)