Introdução
A D2L está comprometida em garantir a segurança dos produtos e serviços que fornecemos e em garantir que as informações confiadas a nós por nossos clientes e usuários sejam protegidas. Esta política destina-se a fornecer aos pesquisadores de segurança diretrizes claras para conduzir atividades de descoberta de vulnerabilidades e transmitir nossas preferências sobre como enviar vulnerabilidades descobertas para nós.
Esta política descreve quais sistemas e tipos de pesquisa são cobertos por esta política, como nos enviar relatórios de vulnerabilidade e quanto tempo pedimos aos pesquisadores de segurança que esperem antes de divulgar publicamente as vulnerabilidades.
Recomendamos que você entre em contato conosco para relatar possíveis vulnerabilidades em nossos sistemas.
Autorização
Se você fizer um esforço de boa fé para cumprir esta política durante sua pesquisa de segurança, consideraremos sua pesquisa autorizada, trabalharemos com você para entender e resolver o problema rapidamente e a D2L não recomendará ou tomará medidas legais relacionadas à sua pesquisa. Caso uma ação legal seja iniciada por terceiros contra você por atividades que foram conduzidas de acordo com esta política, informaremos essa autorização.
Diretrizes
De acordo com esta política, "pesquisa" significa atividades nas quais você:
- Notifique-nos o mais rápido possível depois de descobrir um problema de segurança real ou potencial.
- Faça todos os esforços para evitar violações de privacidade, degradação da experiência do usuário, interrupção dos sistemas de produção e destruição ou manipulação de dados.
- Use exploits apenas na medida necessária para confirmar a presença de uma vulnerabilidade. Não use um exploit para comprometer ou exfiltrar dados, estabelecer acesso persistente à linha de comando ou usar o exploit para dinamizar para outros sistemas.
- Forneça-nos um período de tempo razoável para resolver o problema antes de divulgá-lo publicamente.
- Não envie um grande volume de relatórios de baixa qualidade.
Depois de estabelecer que existe uma vulnerabilidade ou encontrar dados confidenciais (incluindo informações de identificação pessoal, informações financeiras ou informações proprietárias ou segredos comerciais de qualquer parte), Você deve interromper seu teste, notificar-nos imediatamente e não divulgar esses dados a mais ninguém.
Métodos de teste
Os seguintes métodos de teste não são autorizados:
- Testes de negação de serviço de rede (DoS ou DDoS) ou outros testes que prejudicam o acesso ou danificam um sistema ou dados
- Testes físicos (por exemplo, acesso a escritórios, portas abertas, utilização não autorizada), engenharia social (por exemplo, phishing, vishing) ou qualquer outro teste de vulnerabilidade não técnico
Âmbito
Esta política se aplica a:
- Instâncias do LMS do D2L Brightspace
- Instâncias do D2L Wave
- APIs e serviços compatíveis com o Brightspace e o Wave
- Código-fonte publicado em https://github.com/Brightspace
- d2l.com
O teste em instâncias do cliente requer autorização do cliente associado. Se você quiser acessar uma instância do Brightspace ou do Wave para testar, entre em contato conosco pelo e-mail security@d2l.com.
Qualquer serviço não expressamente listado acima, como quaisquer serviços conectados, está excluído do escopo e não estão autorizados para testes. Além disso, as vulnerabilidades encontradas em sistemas de nossos fornecedores estão fora do escopo desta política e devem ser relatadas diretamente ao fornecedor de acordo com sua política de divulgação (se houver). Se você não tiver certeza se um sistema está no escopo ou não, entre em contato conosco em security@d2l.com antes de iniciar sua pesquisa.
Embora desenvolvamos e mantenhamos outros sistemas ou serviços acessíveis pela Internet, pedimos que Pesquisa e testes ativos somente ser realizado nos sistemas e serviços cobertos pelo escopo deste documento. Se houver um sistema específico que não esteja no escopo e que você acha que merece ser testado, entre em contato conosco para discuti-lo primeiro.
Todos os sistemas listados acima são elegíveis para recompensas.
Relatando uma vulnerabilidade
As informações enviadas de acordo com esta política serão usadas apenas para fins defensivos – para mitigar ou corrigir vulnerabilidades. Se suas descobertas incluírem vulnerabilidades recém-descobertas que afetam todos os usuários de um produto ou serviço e não apenas a D2L, poderemos compartilhar seu relatório com a equipe de segurança do produto ou serviço afetado. Não compartilharemos seu nome ou informações de contato sem permissão expressa.
Aceitamos relatórios de vulnerabilidade via incident@d2l.com. As denúncias podem ser enviadas anonimamente. Se você compartilhar informações de contato, confirmaremos o recebimento de seu relatório dentro de 3 dias úteis. Não oferecemos suporte a e-mails criptografados por PGP.
O que gostaríamos de ver de você
Para nos ajudar a fazer a triagem e priorizar os envios, recomendamos que seus relatórios:
- Descreva o local em que a vulnerabilidade foi descoberta e o impacto potencial da exploração.
- Ofereça uma descrição detalhada das etapas necessárias para reproduzir a vulnerabilidade (scripts de prova de conceito ou capturas de tela são úteis).
- Esteja em inglês, se possível.
O que você pode esperar de nós
Quando você opta por compartilhar suas informações de contato conosco, nos comprometemos a coordenar com você da forma mais aberta e rápida possível.
- Dentro de 3 dias úteis, confirmaremos que sua denúncia foi recebida.
- Com o melhor de nossa capacidade, confirmaremos a existência da vulnerabilidade para você e seremos o mais transparentes possível sobre as etapas que estamos tomando durante o processo de correção, inclusive sobre problemas ou desafios que possam atrasar a resolução.
- Manteremos um diálogo aberto para discutir questões.
Perguntas
Perguntas sobre esta política podem ser enviadas para security@d2l.com. Também convidamos você a entrar em contato conosco com sugestões para melhorar esta política.