Política de divulgação responsável da KORE

Introdução

Se você descobriu uma vulnerabilidade em um sistema, rede ou aplicativo do Grupo KORE (que inclui a entidade controladora e todas as afiliadas e subsidiárias), gostaríamos de ser informados para que possamos tomar as medidas adequadas para corrigir o problema o mais rápido possível. Descreveremos as regras de engajamento abaixo, que tanto a KORE quanto você deve seguir.

Política

Na KORE, levamos a segurança da informação muito a sério. Entendemos que nenhum sistema pode ser totalmente seguro e, portanto, sempre temos em mente que podem existir vulnerabilidades em nossos sistemas. Como consideramos a confidencialidade e integridade das informações de nossos clientes uma prioridade, gostaríamos que você nos notificasse caso uma vulnerabilidade tenha sido identificada em nossos sistemas.

Nossa Política de Divulgação Responsável consiste em um conjunto de regras que tanto a KORE quanto a pessoa que relata a vulnerabilidade devem aderir. Observe que a KORE não tem o chamado “programa de recompensa por bug”, pelo qual pode fornecer (grandes quantias de) recompensas financeiras para o identificador de uma vulnerabilidade.

O que a KORE fará?

  • Sempre investigaremos e responderemos a todas as notificações
  • Responderemos a uma notificação dentro de 3 dias úteis e trataremos as informações pessoais do descobridor como confidenciais
  • Se confirmarmos a existência de uma vulnerabilidade, manteremos o descobridor informado sobre o prazo razoável dentro do qual desejamos resolver o problema
  • Se decidirmos tornar a vulnerabilidade pública, consultaremos a pessoa que encontrou a vulnerabilidade. Forneceremos reconhecimento público ao descobridor se ele permitir
  • Se esta política for cumprida, o KORE se absterá de relatar (tentativas) de atividades de hacking à polícia

O que requeremos de você

  • Você relatará a vulnerabilidade identificada exclusivamente a KORE e, portanto, não a terceiros
  • Seu relatório deve conter o máximo de informações possível para permitir a identificação da vulnerabilidade. Essas informações incluem, entre outras: endereços IP, arquivos de log, URLs, informações de data / hora, capturas de tela, etc
  • Você fará com que suas ações durante e após o processo de identificação de vulnerabilidades sejam todas feitas de boa fé, o que significa que você deverá:
    • Não usar ou explorar a vulnerabilidade para qualquer outra finalidade que não seja verificar a existência da vulnerabilidade
    • Não copiar, alterar, mover ou remover qualquer informação do sistema relevante
    • Não fará nenhuma alteração no próprio sistema relevante
    • Não irá, de nenhuma forma, fornecer ou ajudar a fornecer acesso ao sistema relevante
  • O autor da descoberta pode relatar a vulnerabilidade identificada anonimamente. No entanto, para fins de comunicação de acompanhamento, precisaremos de um endereço de e-mail válido

Como reportar?

Para relatar uma vulnerabilidade identificada em qualquer um de nossos sistemas para nós, você deve entrar em contato com dpo.br@korewireless.com.Para salvaguardar a confidencialidade e integridade das informações, gostaríamos que você criptografasse as informações. Nossa chave pública está listada abaixo ou pode ser obtida de servidores de chaves PGP usuais. Nosso ID de chave é 1BAF317C, 4.096 bits RSA, criado em 03/05/2019, expira em 03/05/2024, com impressão digital da chave:

Impressão digital da chave = 7E080B7582A490431019B4B2FF842ABC1BAF317C

A maneira mais fácil de recuperar nossa chave::

gpg --recv-keys 1BAF317C

Abaixo está nossa chave pública:

-----INÍCIO-----
mQINBFzMNn0BEAC4OwqIhJ2DPPexNISn9pnQ9pHkIk90N0aszpQAFtwCqEYGobDR
GebY2NIGbmGGPUs8UEZk/B2/AtXuw4Pc0w2YGTkB9M3whI/0pgV1NHQH7ICI8aRr
xKG9/IYJpbCRqBtOALzP7O1MqODgw7hf2h6caKb6JWuBVE2+ukei2VaIcM3cXzT4
akUGaxJTihaNxyVYr+E43E2oJRTZrD5tlzZ9axo3j8Ri0AnNJYOM51zpHiWHoUo/
ZO7+b84XpVu1kNYgFMkirsxxHWFmxpENUd5ktk0dnyiZxABZFmiVA9mMmPFAI5Rn
oJXi0ToUUieKFJyOx7V1AGthRcQxJDfD7NJCkDiQRQTQIEP0O+hinxJy6JyaSyYi
+2Yrpe4OREkReUODdECA/QuVOlyw0SnLdSfJIrtgiba7yaEelP3zhhCZL8d4vlnf
KxDYoD7XsJo/A+SvSQ/qHaJOeLM6u5sIarYrzqkL1a57+waYzMLESgLpxpFiUe/O
cHRt0sAuT9MGdIf99zjXTifsJUvARlxmvHDlWTze4Fk/hJgyeXZfXPBY1KDgqtFq
UJenhjE2tXEiyLQqQRxBmE4QmWBL9kA/pM+UkaoN8zAnhsnp9yCFCk6e5PYZkIQw
cwCYGgSBdAW3Ecu1Ue6+AjB7th8gZDo4FXHaT9qXTXCBmHNXZcio88gxuwARAQAB
tClLT1JFIFNlY3VyaXR5IDxzZWN1cml0eUBrb3Jld2lyZWxlc3MuY29tPokCVAQT
AQgAPhYhBH4IC3WCpJBDEBm0sv+EKrwbrzF8BQJczDZ9AhsDBQkJaH8jBQsJCAcC
BhUKCQgLAgQWAgMBAh4BAheAAAoJEP+EKrwbrzF8XPcP/0nJsia2ruSqejzNvHOc
F78jx6QVNDLxBQYEis7HZ7O80XByxzvN9yZqUxLwjHvkJC6N3f6wYZcRn89VXRrt
ea3Xqutcv5zH4DmtCMHc9HxT4ylEt+tQMsw+3wrm6LQ21QWeHaTSkiafCE8KE6mh
UrYOGjewLSWt5PtN+kaZhgmxl5Jmg+v0uathDcAW5syZ6HEfD5O4B66OiLmE4FvO
Jq//5lrKEv+COFlnGVIPJCuTus04sryJuOqU7qg5v+G9vbS+PH5cfNUZcPuPjAzY
BMiLqtodfsC3nesaE0k2EmZOpt3aCJzc4eI8BEqbwWT491hgd27KSQgprNYgCtuB
oKX24YpYsYJjkp/PopjEypEE1bqm34pFyP6+FBMQthAZBf8t3zLQAenLboIKQhOL
b/RQQws50bWEXktOmFcK+LOR1ucliswWfv3lYOc1ihe51WywtP8pfirzyVSlkfS9
dQQvxMcX6+tCmk2dmy/tkwbXQOASTZUdCZhel494wCEpEQpdhgD3NmzGaqUvhCWk
MMAG5kcecTqgcxF6LnHWgXP+InOglXzwe6jGe9RJ+GfNKKZ4k0YsdmZtkgS9yKkp
NbBaWsJxe6RCFLr0ljffQFCR/rsIgeUBtTj306hCQP7+mNTStFuJ1eY1tmflMm5R
R2Bxe/mxajiz/v7XosDIryzsuQINBFzMNn0BEACgdHw/6DEoUNu1068UL8+G7g0z
KUNIFN7VsI98R+0kaNr9MeW14YPaT6SiC+Z9KcwFzTDmNVI+bUHrAv+T1kAivOHg
FWKnHJ8dfxKYxPZYiFd6NZtltyYF5o11xUijUI6l+Uj3EkFQBgrUNR4IAWq3IJcX
5HzVBLTMWBP5W5NmenL5MyXIwCapODoajGHC25xlAzC66C6ggX3fosm8oJ71ZIKD
zsgzb0LaPdzHhd7nkgJ/EBKIVeNZSGsN3lff1L9ry0fNkmkOE4/PP6CptcwQN9We
UcG7UOVntbdhASD1f5gU/Oc7VaUvg6Dwxh2mUmvHvd1y0VAPa+yQEDRNv7ZMr4Z2
/Tgh0Ecsv8Pn596keF1BxHesOOCqfk3iFRMkaHpGFh+zAZeBY8emJHRQGfjVXI2g
1sJZYP3FQrKrbItZJXD966dVTzAnk9HPcRJ63e/tc6Dl/rWyAhP8hxB3uDl0BnbC
ZEAauxtlm/ABKK98YHf7deEbgFp3SbI/FgUqUBsoMCLAG1QkYdI8Ns0gSQBtfV1W
GiOQ45X/rnsWnWHRLpSEIzsw/AmTA4FylQxseidFz8vNeLSZ0qlAPMOhieYSrDJn
dJEiKCy8NiUGVIYeCceJPQkj/WTFGs26KvCX0k769nzWuUTScBWACPDvPS3hvFva
YY9313FA/TWAQM2M7wARAQABiQI8BBgBCAAmFiEEfggLdYKkkEMQGbSy/4QqvBuv
MXwFAlzMNn0CGwwFCQlofyMACgkQ/4QqvBuvMXxFzw//ZgbkHsyHza3Bm73Q3hs0
u5sx3Ua1UzNehuW+q7ssIZWyU6Mm4NbDBcgjLnp1Y7tvwwE3VNlQ7diSInhku25f
avC6N0lZHS/0tniZfySp7H01Bke8lbFHKVVNYIRmtNKJyebgZqRoSh8fREJGS7pe
WuCG+mPFwhXauROHR5U1bhLGBO+itBRZBuYU2sPcyE43PWZlJzWHGtKiiQOyb68r
BXuAaZMWHWzf7bKimkIvNYeD5o6oGPHftCC/AJ6dNwaRgrz2H/lJAAZKLtxABzxF
oi8+0yR1T+vDmtxUkMdIeSJzahSayR8Mr5XjKZHvgwH9THVha+gYWVAWXyDxs5+2
HRbd4/hjl7rskrvNPubyuXeD9qwSsTty5z3F2OKjgXIO+G0xajk8Qo70s7UnQfLS
YgvQN15yJDaIWaRASPqwLF+2oMG619hDpoKBZyqdk7NnehdlSjXvLVusfsMKRadz
5bViyBPj7GDqzlJgkCL4E8L1SsCSzYgfeZKyNDG0BRoBBgPGZw5gbLEB4lalzwAr
e7uNtIf3kZwyWY0T7LqyZ/rKAyGVt8SQbDMVf9/tUGyHTCqQJhFAL0dAWy5nijba
kmX/uzLLhlV//Dp6NYfvFGhSeMIrA/Us+t9hEsFt/KeM7q1zAlBt+KBVVLHhuoQ1
6dx15Z8BEr9XTddw65R7HKg=
=/ZV6
-----FIM-----

 

Quando essas regras não forem cumpridas

No caso de você hackear um de nossos sistemas e não seguir as regras descritas neste procedimento, a KORE sempre relatará o incidente à polícia.