Relatório de vulnerabilidade

• Amazon Web Services (AWS): entre em contato com aws-security@amazon.com (chave PGP) para relatar uma vulnerabilidade ou problema de segurança com serviços da Nuvem AWS ou projetos de código aberto.
• Amazon: notifique a segurança de varejo sobre uma vulnerabilidade ou problema de segurança com os serviços ou produtos do Amazon Retail.
• Testes de penetração: os clientes da AWS podem realizar avaliações de segurança ou testes de penetração em sua infraestrutura da AWS sem aprovação prévia para os serviços listados. Para obter orientação adicional, consulte a Política de Teste de Penetração.
• Abusos na AWS: se você suspeita que alguns recursos da AWS (como uma instância do EC2 ou um bucket do S3) estão sendo usados para atividades suspeitas, preencha o formulário sobre abusos na AWS ou escreva para trustandsafety@support.aws.com.

Para que possamos responder com mais eficácia ao seu relatório, forneça qualquer material de suporte (código de prova de conceito, saída da ferramenta etc.) que seja útil para nos ajudar a entender a natureza e a gravidade da vulnerabilidade.

O Amazon CNA emitirá CVEs que ajudam clientes a lidar com vulnerabilidades de segurança válidas nas seguintes classes:

• Serviços da AWS fornecidos pela AWS e disponíveis publicamente aos clientes (por exemplo, o Amazon EC2 ou o Amazon RDS).
• Serviços da Amazon fornecidos pela Amazon e disponíveis publicamente aos clientes (por exemplo, o serviço de API de vendedores da Amazon.com).
• Software de código aberto em uma organização do GitHub gerenciada pela Amazon ou pela AWS.
• Software-cliente publicado pela Amazon ou pela AWS e disponível para download em um site ou local de download de nossa propriedade e operado por nós (por exemplo, um cliente do Amazon Appstore SDK, Amazon Input SDK, Amazon Kindle App, Amazon MShop App ou Amazon WorkSpaces).
• Dispositivos fabricados pela Amazon ou pela AWS e disponíveis aos clientes para compra e uso (por exemplo, Amazon Fire TV, dispositivos Amazon Echo, Amazon Kindle ou AWS Outpost).

Além disso, todos os requisitos abaixo devem ser atendidos:

• Impacto no cliente: o problema deve existir em uma classe de propriedade da Amazon ou da AWS disponível publicamente para os clientes; E
• Agência do cliente: a correção de problemas de produtos compatíveis ou de EOL/EOS exige a ação do cliente, incluindo a tomada de uma decisão baseada em riscos sobre como lidar com a remediação (OU os clientes precisam avaliar o possível impacto) OU quando uma vulnerabilidade de segurança válida se tornará pública (OU tem o potencial de se tornar pública); E
• Pontuação CVSS: 4,0 (MÉDIA) ou superior.

Problemas de serviços, software ou hardware que não são considerados uma vulnerabilidade incluem, mas não estão limitados a:

• A configuração não padrão ou alterações feitas usando credenciais válidas que foram autorizadas corretamente;
• Direcionar ativos de clientes da Amazon ou AWS (ou de sites que não sejam da AWS hospedados na nossa infraestrutura);
• Qualquer vulnerabilidade obtida através do comprometimento de contas de cliente ou colaborador da Amazon ou AWS;
• Qualquer ataque de negação de serviços (DoS) contra produtos da Amazon ou da AWS (ou clientes da Amazon ou da AWS);
• Ataques físicos contra funcionários, escritórios e data centers da Amazon ou AWS;
• Engenharia social de funcionários, empresas contratadas, fornecedores ou prestadores de serviço da Amazon ou AWS;
• Publicar, transmitir, fazer upload, enviar links ou malware de forma intencional;
• Procurar vulnerabilidades que enviem mensagens em massa não solicitadas (spam).

A AWS tem o compromisso de ser dinâmica e manter você informado sobre o nosso progresso. Você receberá uma resposta não automática confirmando o recebimento de seu relatório inicial em 24 horas, atualizações periódicas e check-ins mensais durante todo o contrato. Você pode solicitar atualizações a qualquer momento, e agradecemos quaisquer diálogos que esclareçam qualquer preocupação ou coordenação de divulgação.

As atividades consideradas não uma vulnerabilidade acima também estão fora do escopo do Programa de Divulgação de Vulnerabilidades da AWS. A condução de qualquer uma das atividades mencionadas acima resultará na desqualificação permanente do programa.

Se for aplicável, a AWS coordenará a notificação pública de qualquer vulnerabilidade validada com você. Quando possível, preferimos que nossas respectivas divulgações públicas sejam publicadas simultaneamente.

Para proteger nossos clientes, a AWS solicita que você não publique nem compartilhe informações sobre uma vulnerabilidade potencial em qualquer ambiente público até que tenhamos tratado da vulnerabilidade relatada e os clientes tenham sido informados, conforme necessário. Além disso, pedimos respeitosamente que você não publique nem compartilhe nenhum dado pertencente a nossos clientes. Observe que o tempo necessário para mitigar uma vulnerabilidade depende da gravidade da vulnerabilidade e dos sistemas afetados.

As notificações públicas da AWS são feitas na forma de boletins de segurança, os quais são publicados no site de Segurança da AWS. Indivíduos, empresas e equipes de segurança normalmente publicam informes nos seus próprios sites e em outros fóruns e, quando for relevante, incluiremos links para estes recursos de terceiros nos boletins de segurança da AWS.  

Acreditamos que a pesquisa de segurança realizada com boa fé deva receber o certificado de conformidade com a política de Safe Harbor. Para garantir a conformidade com a política de Safe Harbor em pesquisas de segurança e relatórios de vulnerabilidades, adotamos o Gold Standard Safe Harbor. Estamos ansiosos para colaborar com pesquisadores da área de segurança que compartilham nossa dedicação à proteção de nossos clientes.

O Gold Standard Safe Harbor oferece suporte à proteção de organizações e hackers envolvidos em pesquisas de segurança realizadas com boa-fé. Uma “pesquisa de segurança realizada com boa-fé” envolve o acesso a um computador exclusivamente para fins de testes, investigações ou correções de falhas ou vulnerabilidades de segurança, quando essas atividades são realizadas de forma a evitar qualquer dano a indivíduos ou ao público e de maneira que as informações obtidas sejam utilizadas, principalmente, para promover a segurança ou a proteção da classe de dispositivos, máquinas ou serviços on-line a que pertence o computador acessado ou das pessoas que utilizam esses dispositivos, máquinas ou serviços on-line.

Consideramos que a pesquisa de segurança realizada com boa-fé é uma atividade autorizada e protegida contra ações legais adversas por nossa parte. Renunciamos a qualquer restrição relevante em nossos Termos de Serviço (“TOS”, na sigla em inglês) e Políticas de uso aceitável (“AUP”, na sigla em inglês) que entre em conflito com o padrão para a pesquisa de segurança realizada com boa-fé descrito no presente documento.

Isso significa que, para atividades conduzidas enquanto este programa estiver ativo, nós:

• Não apresentaremos com ações legais contra você nem denunciaremos você pela condução de uma pesquisa de segurança realizada com boa-fé, mesmo se você contornar as medidas tecnológicas que usamos para proteger as aplicações no escopo; e,
• Tomaremos providências para divulgar que você conduziu uma pesquisa de segurança realizada com boa-fé caso outra pessoa apresente uma ação legal contra você.

Recomendamos que você entre em contato conosco para esclarecer dúvidas antes de realizar qualquer atividade que possa ser considerada incompatível com a pesquisa de segurança realizada com boa-fé ou não contemplada por nossa política.

Tenha em mente que não podemos autorizar pesquisas de segurança em infraestrutura de empresas externas, e uma empresa externa não está sujeita a esta declaração de Safe Harbor.

Após o envio do relatório, iniciaremos o processo de validação da vulnerabilidade relatada. Se informações adicionais forem necessárias para validar ou reproduzir o problema, colaboraremos com você para obtê-las. Quando a investigação inicial estiver completa, os resultados serão entregues a você em conjunto com um plano para resolução e discussão sobre a divulgação pública.

Alguns pontos a serem observados sobre o processo:

1. Produtos de empresas externas: se a vulnerabilidade for encontrada em produtos de empresas externas, notificaremos o proprietário da tecnologia afetada. Continuaremos a coordenar a comunicação entre você e a empresa externa. Sua identidade não será divulgada para a empresa externa sem sua permissão.
2. Confirmação de que não há vulnerabilidades: se o problema não for validado ou não estiver dentro do escopo, essa informação será compartilhada com você.
3. Classificação de vulnerabilidades: usamos a versão 3.1 do Common Vulnerability Scoring System (CVSS) para avaliar as vulnerabilidades potenciais. A pontuação resultante ajuda a quantificar a gravidade do problema e a priorizar nossa resposta. Para obter mais informações sobre o CVSS, consulte o site do NVD.

Ao participar do nosso programa de divulgação de vulnerabilidades com boa-fé, solicitamos que você:

• Respeite as regras, incluindo seguir esta política e quaisquer outros acordos pertinentes. Se houver alguma inconsistência entre essa política e quaisquer outros termos aplicáveis, os termos dessa política prevalecerão;
• Relate qualquer vulnerabilidade que você tenha descoberto imediatamente;
• Evite violar a privacidade de outras pessoas, interromper nossos sistemas, destruir dados e/ou prejudicar a experiência do usuário;
• Use somente os canais mencionados anteriormente para discutir informações sobre vulnerabilidades conosco;
• Forneça um período de tempo razoável a partir do relatório inicial para resolver o problema antes de divulgá-lo publicamente;
• Realize testes somente em sistemas dentro do escopo e respeite os sistemas e atividades que não fazem parte dele;
• Se uma vulnerabilidade fornecer acesso não intencional aos dados: limite a quantidade de dados que você acessa ao mínimo necessário para demonstrar com eficácia uma prova de conceito; interrompa os testes e envie um relatório imediatamente se encontrar algum dado de usuário durante o teste, como informações de identificação pessoal (PII), informações pessoais de saúde (PHI), dados de cartão de crédito ou outras informações confidenciais;
• Somente interaja com contas de teste que sejam de sua propriedade ou para as quais você tenha permissão explícita do titular da conta; e
  
• Não se envolva em práticas de extorsão.