A segurança dos dados é uma prioridade primordial para a ClassPass, pelo que acreditamos que a colaboração estreita com investigadores de segurança externos é uma forma importante de revelar as fragilidades que possam existir no nosso software.
Se crês ter identificado uma fragilidade na segurança no serviço da ClassPass, por favor, comunica-nos esse facto. Estamos disponíveis para trabalhar contigo no sentido de resolver essa questão prontamente.
Valorizamos aqueles que investem o seu tempo e esforço para reportar fragilidades na segurança. Como tal, oferecemos uma recompensa monetária pela identificação e revelação dessas fragilidades.
Política de Revelação
Se crês ter identificado uma potencial fragilidade, por favor, comunica-nos esse facto por email para security@classpass.com. Daremos resposta ao teu email no prazo de 5 dias úteis.
No teu relatório, por favor, inclui as seguintes informações:
- O website, o IP ou a página onde a fragilidade pode ser observada.
- Uma breve descrição do tipo de fragilidade.
- Passos para a recriação. Estes devem constituir uma prova de conceito benigna e não-destrutiva. A recriação do processo que levou à deteção de fragilidade contribui para que o relatório seja rápida e seriamente considerado.
Permite-nos um período de tempo razoável para resolver o problema antes de o revelares ou partilhares publicamente ou a terceiros. Envidaremos todos os esforços para resolver as situações críticas nos primeiros 30 dias após a comunicação da fragilidade. Faremos a triagem do assunto para nos assegurarmos de que não existe duplicação de eventos reportados, e classificá-lo-emos consoante a gravidade da fragilidade detetada. Uma vez que a triagem esteja feita, assumindo que o relatório não é repetido, pagaremos, via Paypal, uma recompensa consoante a gravidade da fragilidade detetada.
Aconselhamos especial cuidado para que evites ações que resultem na violação da privacidade, destruição de dados ou na interrupção ou degradação do serviço ClassPass. Pedimos-te que apenas intervenhas em contas que te pertençam ou às quais tenhas a explícita permissão de acesso do titular da conta. O teu relatório não deverá resultar de qualquer ação que viole a lei ou qualquer regulamento, incluindo a legislação que proíba o acesso não-autorizado aos dados.
Exclusões
Durante a tua pesquisa, deverás abster-te das seguintes práticas:
- Distributed Denial of Service (DDoS)
- Envio de Spam
- Engenharia social ou "phishing" sobre a ClassPass, os seus funcionários ou prestadores de serviço.
- Quaisquer ataques contra os centros de dados ou outra propriedade física da ClassPass.
- Quaisquer ataques contra os nossos utilizadores finais (end users), ou práticas de venda de credenciais de utilizadores roubadas. Utilização de contas de outrem, cujos dados de login tenham sido comprometidos. O aproveitamento de fragilidades que tenham sido descobertas através da utilização de contas cujos dados tenham sido comprometidos, serão desqualificadas.
Ficamos gratos pelo teu interesse e dedicação em manter a ClassPass e os seus clientes em segurança.
Alterações
Estas orientações poderão ser revistas e alteradas periodicamente. A versão mais atual destas orientações estará sempre disponível em https://classpass.com/vulnerability-disclosure.
Contacto
A ClassPass está sempre aberta a feedback, questões e sugestões. Se desejares contactar-nos, por favor, não hesites em escrever-nos para security@classpass.com.