Divulgação Responsável de Vulnerabilidades

mulher tomando café e mexendo no notebook

Identificou algum ponto de melhoria em nossos sistemas?

Você é um pesquisador de segurança e descobriu vulnerabilidades em nossos sistemas? Então, gostaríamos de contar com a sua ajuda para corrigir essas vulnerabilidades.

A privacidade, a proteção de dados e a segurança da informação são temas prioritários para o Itaú. Investimos fortemente nas melhores tecnologias e adoção das práticas mais rigorosas do mercado para garantir a segurança, bem como a proteção da privacidade e dos dados dos nossos clientes.

homem com fone de ouvido mexendo no notebook

Diariamente, nossos especialistas otimizam sistemas e processos, o que não significa que nossos sistemas sejam livres de todas as vulnerabilidades possíveis.

Por isso o Itaú permite que pesquisadores de segurança nos contatem para a divulgação responsável de vulnerabilidades em potencial identificadas em nossos aplicativos e sistemas e/ou ativos.

Saiba como realizar uma divulgação responsável

Pesquisadores de segurança podem divulgar potenciais vulnerabilidades em nossos sistemas/aplicativos seguindo as diretrizes abaixo:

- Não realize nenhuma atividade que possa causar dano ao Itaú, aos nossos clientes ou aos nossos colaboradores;

- Não realize nenhuma atividade que possa parar e/ou impactar os aplicativos, serviços ou ativos do Itaú;

- Não realize nenhuma atividade que possa violar qualquer Lei Federal, Estadual ou Municipal, bem como, diretrizes, portarias ou demais manifestações de Autoridades Reguladoras;

- Não utilize ferramentas de scan automático;

- Você não deve agir de má-fé buscando realizar pedidos de resgate de dados (data hijacking);

- Não realize ataques de força bruta, derrubada de serviços ou comprometimento de contas;

- Não armazene, compartilhe, comprometa ou destrua qualquer dado do Itaú Unibanco ou de qualquer um de seus clientes. Se qualquer informação pessoalmente identificável for encontrada deve-se imediatamente parar as atividades, eliminar os dados de seu sistema e contatar imediatamente o Itaú Unibanco pelo e-mail abuse@itau-unibanco.com.br;

- Não inicie qualquer transação financeira indevida;

- Não solicite qualquer tipo de recompensa pela descoberta da vulnerabilidade potencial.

Importante: Ao se submeter as regras do programa, você concorda em NÃO DIVULGAR (e/ou NÃO DISCUTIR) publicamente suas descobertas ou o conteúdo do seu envio a terceiros, de forma alguma, sem o EXPRESSO CONSENTIMENTO do Itaú Unibanco.

Escopo

Os testes são autorizados apenas nos alvos listados no escopo. Qualquer domínio/ propriedade do Itaú não listado nessa seção, está explicitamente, fora do escopo. Isso inclui qualquer/ todos os subdomínios não listados.

O escopo do programa envolve unicamente:

- Aplicativos de varejo Android e iOS e

- Sites corporativos, locais e de marca que representam as operações do Itaú Unibanco no Brasil (vide relação abaixo).

1. bancofiat.com.br	24. issomudaomundo.com.br	47. itnow.com.br
2. bancoitau.com.br	25. itau.com.br	48. itnowitau.com.br
3. bankline.com.br	26. itauassetmanagement.com.br	49. iupp.com.br
4. bfb.com.br	27. itauautoeresidencia.com.br	50. jovemdefuturo.org.br
5. conexoesitaucultural.org.br	28. itaucard.com.br	51. kinea.com.br
6. credicard.com.br	29. itaucartoes.com.br	52. lojadesegurositau.com.br
7. credicardhall.com.br	30. itaucorretora.com.br	53. negociosconsig.com.br
8. credipronto.com.br	31. itaucorretorapro.com.br	54. personnalite.com.br
9. credlineitau.com.br	32. itaucred.com.br	55. personnaliteinvestnet.com.br
10. escrevendoofuturo.org.br	33. itaucultural.org.br	56. personnaliteitau.com.br
11. euleioparaumacrianca.com.br	34. itaucustodia.com.br	57. pibb.com.br
12. funbep.com.br	35. itauimobline.com.br	58. planosaudeitau.com.br
13. fundacaoitausocial.org.br	36. itauinstitucionais.com.br	59. polo.org.br
14. fundacaoitauunibanco.com.br	37. itauinvestnet.com.br	60. portalinstitutounibanco.org.br
15. fundacaosaudeitau.com.br	38. itaupersonnalite.com.br	61. premioitauunicef.org.br
16. hipercard.com.br	39. itauprivatebank.com.br	62. redecard.com.br
17. ibconsigweb.com.br	40. itauri.com.br	63. rumositaucultural.org.br
18. ibeneficios.com.br	41. itausocial.org.br	64. unibanco.com.br
19. imulherempreendedora.com.br	42. itautrade.com.br	65. uniclass.com.br
20. institutounibanco.org.br	43. itauunibanco.com.br	66. userede.com.br
21. intrag.com.br	44. itau-unibanco.com.br	67. useredepay.com.br
22. investiremque.com.br	45. itauunibancoclube.com.br
23. investshop.com.br	46. itauuniclass.com.br

Importante: Observe que esses domínios podem empregar redirecionamentos para outros domínios que não estão no escopo de nosso programa. Por favor, tome cuidado para garantir que seu teste seja executado apenas em relação aos alvos listados nesta página como dentro do escopo.

Fora do escopo

Todos os sites corporativos, locais e de marca que representam as operações do Itaú fora do Brasil, não deverão ser utilizados em testes para o programa.

Certas vulnerabilidades são consideradas fora do escopo de nosso Programa de Divulgação Responsável:

- Teste Físico

- Engenharia social (por exemplo, tentativas de roubar cookies, páginas de login falsas para coletar credenciais)

- Phishing

- Ataques de negação de serviço

- Ataques de exaustão de recursos

- Mensagens de erro descritivas (por exemplo, Stack Traces, erros de aplicativo ou servidor)

- Códigos / páginas HTTP 404 ou outros códigos / páginas HTTP diferentes de 200

- Divulgação de banners em serviços comuns / públicos

- Divulgação de arquivos ou diretórios públicos conhecidos (por exemplo, robots.txt)

- Clickjacking e problemas que só podem ser explorados por meio de clickjacking

- CSRF em formulários que estão disponíveis para usuários anônimos (por exemplo, o formulário de contato)

- Logout Cross-Site Request Forgery (logout CSRF)

- Presença da funcionalidade de 'preenchimento automático' ou 'salvar senha' do navegador da web ou aplicativo

- Falta de sinalizadores de cookie seguro e HTTPOnly

- Falta de Speedbump de Segurança ao sair do site

- Desvio de Captcha / Captcha fraco

- Enumeração de nome de usuário via mensagem de erro da página de login

- Enumeração de nome de usuário via mensagem de erro “Esqueci minha senha”

- Força bruta da página Login ou Esqueci a Senha e bloqueio de conta não aplicados

- Método OPTIONS / TRACE HTTP ativado

- Ataques SSL como BEAST, BREACH, ataque de renegociação

- Sigilo de encaminhamento de SSL não habilitado

- Conjuntos de criptografia SSL Insecure

- O cabeçalho Anti-MIME-Sniffing X-Content-Type-Options

- Cabeçalhos de segurança HTTP ausentes

Este canal de reporte não deverá ser utilizado para:

- comentários sobre os serviços prestados pelo Itaú Unibanco

- comentários ou perguntas sobre a acessibilidade dos nossos serviços

- denúncias de fraude ou possível fraude

- relatar problemas de ATM (a menos que relacionado à segurança)

- relatar vírus e/ou malware

Reporte de Fraudes e Phishing deve ser realizado pelos canais:

- SMS, páginas e e-mails falsos: emailsuspeito@itau-unibanco.com.br

- Demais golpes e fraudes: inspetoria@itau-unibanco.com.br

Importante: alguns domínios podem empregar redirecionamentos para outros domínios que não estão no escopo de nosso programa. Por favor, tome cuidado para garantir que seu teste seja executado apenas em relação aos alvos listados nesta página como dentro do escopo.

Submissão

A comunicação da melhoria deve ser realizada exclusivamente para o e-mail abuse@itau-unibanco.com.br. Uma vez a vulnerabilidade compartilhada, o Itaú se compromete com um retorno em até 2 (dois) dias úteis sobre o recebimento do reporte, mantendo-o informado da tratativa da(s) vulnerabilidade(s) em avaliação.

Queremos obter o máximo de informações de quem relata a vulnerabilidade para que possamos validar e implantar qualquer potencial melhoria rapidamente.

Tente fornecer o máximo de informações possíveis, incluindo:

- Uma descrição da vulnerabilidade, incluindo a capacidade de exploração e o impacto, se não um tipo de ataque comum;

- Etapas necessárias para explorar a vulnerabilidade, incluindo:

- URL(s) / aplicativo(s) afetado(s);

- condições anteriores exigidas (por exemplo: conectado, não conectado);

- como demonstrar o problema.

- IPs usados quando a vulnerabilidade foi descoberta;

- Se for pós-autenticação, o ID do usuário usado quando a vulnerabilidade foi descoberta;

- Uma prova de conceito;

- Nomes de quaisquer arquivos enviados para nossos sistemas.

Se você não incluir tudo nesta lista, isso pode atrasar ou nos impedir de validar e corrigir a vulnerabilidade. Respostas a questões de baixa relevância e/ou informativas terão sua prioridade retirada. Salve todos os seus registros, pois pediremos que você nos disponibilize.

Um itaú mais seguro

Agradecemos sua dedicação e parceria caso tenha feito um envio que tenha nos ajudado significativamente a manter nossos clientes cada vez mais protegidos. No entanto, o Itaú Unibanco não possui um programa público de bug bounty, nem realiza compensação monetária, ou qualquer outro tipo de recompensa pelas vulnerabilidades submetidas por meio deste canal.

Confidencialidade

Ao divulgar vulnerabilidades de forma responsável seguindo as diretrizes aqui dispostas e, desde que não seja verificada nenhuma incompatibilidade entre as ações do pesquisador de segurança e as legislações locais vigentes, o Itaú Unibanco concorda em não tomar ações legais e/ou outras medidas cabíveis contra o pesquisador. Se uma ação legal for iniciada por um terceiro contra você em relação às atividades conduzidas de acordo com esta política, tomaremos medidas para tornar conhecido que suas ações foram conduzidas em conformidade com esta política.

Caso seja identificada alguma irregularidade neste sentido, o Itaú Unibanco poderá seguir com as medidas cabíveis. O Itaú Unibanco poderá tomar outras medidas legais no caso de não cumprimento dessas diretrizes.

Privacidade

Para mantê-lo informado sobre o tratamento da(s) vulnerabilidade(s) reportada(s), solicitamos suas informações de contato como nome e endereço de email, e, em alguns casos, número de telefone. Se a vulnerabilidade for relatada anonimamente, nós respeitaremos isso. As informações de contato serão usadas apenas para mantê-lo informado sobre o processo de divulgação de vulnerabilidades e não serão repassadas a terceiros sem sua permissão explícita.

Para proteger sua privacidade, nós não:

▪ Compartilharemos seu PII (Personally Identifiable Information, Informação Pessoal Identificável, em tradução livre) com terceiros;

▪ Compartilharemos sua pesquisa sem permissão.

No entanto, esse não é o caso se formos obrigados por lei a divulgar ou se transferirmos a investigação da vulnerabilidade relatada a um terceiro. Nestes

casos, fazemos todo o possível para manter essas informações confidenciais e nos sentimos responsáveis por elas.

Em vigor a partir de 10 de dezembro de 2021.

Podemos alterar as regras para Divulgação Responsável de Vulnerabilidades de tempos em tempos, ou ainda, podemos cancelar nosso programa a qualquer momento.

Nossa segurança também é feita com você ;)