Relatar uma vulnerabilidade

A Supernormal está comprometida com a segurança e proteção dos dados de nossos clientes. Fazemos todos os esforços para garantir que seus dados permaneçam seguros. Incentivamos a divulgação responsável e agradecemos sua ajuda para manter nosso aplicativo seguro. Você pode seguir as etapas detalhadas a seguir para divulgar um problema à nossa equipe.

‍

Como denunciar um problema

Antes de denunciar, certifique-se de ter descoberto uma vulnerabilidade legítima e não um falso positivo. Faça testes completos e reúna evidências suficientes para demonstrar o impacto da vulnerabilidade. Se você descobriu um problema, envie um e-mail para security@supernormal.com com os seguintes detalhes:
‍

• Descrição: Descreva claramente a vulnerabilidade, seu impacto e quaisquer possíveis vetores de ataque
• Etapas para reproduzir: forneça um guia passo a passo para reproduzir a vulnerabilidade
• Ferramentas/dependências: mencione quaisquer ferramentas, versões de software ou dependências usadas durante sua pesquisa
• Forneça um código de prova de conceito ilustrando a exploração, se aplicável
  ‍

Nossa equipe investigará o problema assim que recebermos sua denúncia. Manteremos você atualizado sobre o progresso e poderemos entrar em contato para obter mais detalhes, se necessário. Assim que o problema for resolvido, atualizaremos nossos clientes.

‍

Supernormal compensará você por relatórios de quaisquer vulnerabilidades válidas com um CVSS pontuação de 4 ou superior.

‍

Escopo

Nosso programa de divulgação de vulnerabilidades se concentra em nosso aplicativo web e API primários. Isso inclui possíveis vulnerabilidades no código-fonte, nas configurações, na infraestrutura do servidor e nos serviços associados do aplicativo.

‍

Fora do escopo:

• Análise automatizada de vulnerabilidades
• Bugs que permitem que um invasor ultrapasse os limites de contas gratuitas e/ou tenha acesso a recursos em planos pagos
• Vulnerabilidades em aplicativos ou serviços de terceiros não gerenciados diretamente por nós
• Ataques de negação de serviço ou ataques distribuídos de negação de serviço (DDoS)
• Vulnerabilidades resultantes de software cliente desatualizado ou comportamento inseguro do usuário
• Vulnerabilidades dependendo do acesso físico ao dispositivo do cliente
• Os relatórios sobre as melhores práticas com relação à configuração de DNS, CSP e CORS, embora informativos, não se qualificam para receber uma recompensa
• Engenharia social de qualquer tipo

No escopo:

• https://api.supernormal.com
• https://app.supernormal.com

‍

Porto seguro

Para incentivar a divulgação responsável, oferecemos uma política de porto seguro. Isso significa que, desde que você siga as diretrizes descritas neste documento, não iniciaremos nenhuma ação legal contra você em relação às suas atividades de pesquisa. Também nos comprometemos a trabalhar com você em tempo hábil para abordar e resolver as vulnerabilidades relatadas.

No entanto, observe que esperamos que você aja de forma ética e responsável, respeitando a privacidade do usuário, evitando qualquer acesso não autorizado aos dados e evitando ações destrutivas ou interrupções em nossos serviços.

‍