#  Relatando um Problema de Segurança 

Se você descobrir uma questão de segurança ou vulnerabilidade em um produto ou serviço da Acquia, pedimos que nos relate isso de forma confidencial.

[Reportar uma Questão de Segurança](mailto:security@acquia.com)

 

 

 

        ![Writing on the board - having a plan](/sites/default/files/styles/flex_header_desktop/public/media/image/2022-09/Security-Web.png?h=9f35f61e&itok=pR3unW1Z)  

 

        ![Writing on a board - making a plan](/sites/default/files/styles/flex_header_desktop/public/media/image/2022-09/Security-mobile_0.png?h=9f35f61e&itok=40hVoIJ3)  

 

        ![Writing on a board - making a plan](/sites/default/files/styles/flex_header_desktop/public/media/image/2022-09/Security-mobile_0.png?h=9f35f61e&itok=40hVoIJ3)  

 

 

 

 

        ![navy and pink line art of a knight with a shield with a lock on it and a castle in the background](/sites/default/files/styles/feature_component_50x50_desktop/public/media/image/2023-07/DAM%20Security_Cloud_1.png?itok=VMJx31JO) 

## Divulgação Responsável

Na Acquia, levamos muito a sério a segurança de nossos produtos. Educamos nossa equipe sobre as melhores práticas de segurança e nosso processo de desenvolvimento inclui etapas de garantia de qualidade para assegurar que nossos produtos sejam de alta qualidade e seguros. No entanto, como todos os produtos de software complexos, é possível que uma vulnerabilidade de segurança esteja presente em um de nossos produtos.

Por favor, envie os detalhes por e-mail para nossa equipe de segurança em <security@acquia.com>. Valorizamos a divulgação responsável e reconheceremos os pesquisadores de segurança quando um problema for relatado, aderindo aos seguintes parâmetros.

A Acquia não possui atualmente um programa de recompensas por bugs implementado, porém ficamos felizes em creditar os pesquisadores com seus nomes e um link para o endereço de sua escolha (por exemplo, Twitter ou site pessoal) em nosso Hall da Fama abaixo.





 

 



## Parâmetros e Exclusões

### Parâmetros

- Não acesse, destrua ou impacte negativamente os dados da Acquia ou de seus clientes de forma alguma.
- Não utilize scanners automatizados. (O uso de scanners automatizados pode resultar em ações investigativas e no bloqueio do seu IP.)
- Faça um esforço de boa-fé para evitar violações de privacidade e interrupção ou degradação dos serviços da Acquia durante sua pesquisa. (ex: Negação de Serviço)
- Não realize qualquer tipo de ataque físico ou eletrônico contra o pessoal, escritórios ou data centers da Acquia.
- Permita tempo razoável para a Acquia investigar seu relatório e realizar qualquer remediação necessária.
- Não viole leis nem quebre acordos anteriores.

 

 

### Exclusões

- Banners de software do servidor exibidos ou outras informações de versão.
- Mensagens de erro descritivas.
- Cabeçalhos de segurança HTTP ausentes. (ex.: X-Frame-Options)
- Registros SPF ausentes ou incorretos.
- CSRF em formulários disponíveis para usuários anônimos
- Enumeração de nome de usuário / e-mail
- Divulgação de arquivos públicos conhecidos. (ex.: robots.txt)

A Acquia não iniciará ações legais contra pesquisadores, desde que sigam esses parâmetros. A Acquia se reserva o direito de creditar apenas pesquisadores que tenham relatado um problema comprovado e de gravidade suficiente.

 

 

 

 

 



## Detalhes da Submissão

Forneça o máximo de detalhes relevantes possível, como:

- Como a vulnerabilidade pode ser explorada e o impacto potencial.
- Como você descobriu a vulnerabilidade e passos claros para reproduzi-la.
- Qualquer prova de conceito do ataque e/ou imagens mostrando o vetor de ataque.
- Quaisquer correções conhecidas ou controles para mitigar a vulnerabilidade.



 

        ![line art of a shield](/sites/default/files/styles/feature_component_50x50_desktop/public/media/image/2022-12/Security%20Line%20Art.png?itok=Og9e7PaX) 

 



Obrigado

## Hall da Fama de Segurança

Um agradecimento especial às seguintes pessoas que divulgaram responsavelmente vulnerabilidades à Acquia no passado:

 

- Harshal Bafna - [LinkedIn](https://www.linkedin.com/in/harshal-bafna-61343a241/)
- Bharat Adhikari | [LinkedIn](https://www.linkedin.com/in/bharat-adhikari-726337225/)
- Mohit Kumar - [LinkedIn](https://www.linkedin.com/in/mohit-kumar-4ab6b3bb/)
- Corrie Sloot - [LinkedIn](https://www.linkedin.com/in/corriesloot/)
- Ramlal - [LinkedIn](https://www.linkedin.com/in/valya-r-77714820b)
- Smriti Chandravanshi - [LinkedIn](https://www.linkedin.com/in/smriti-chandravanshi-0365471a7)
- S M Tarikul Alam - [LinkedIn](https://www.linkedin.com/in/saikatewu/)
- Guillermo Gregorio - [LinkedIn](https://www.linkedin.com/in/guillermo-gregorio/)
- Gaurang maheta - [LinkedIn](https://www.linkedin.com/in/gaurang883)
- Raghav Khandelwal | [LinkedIn](https://www.linkedin.com/in/raghav-khandelwal-902b88203/)
- Tim Koopmans | [Twitter](https://twitter.com/tim_koopmans)
- Mansoor Rangwala | [LinkedIn](https://www.linkedin.com/in/mansoor-rangwala-cyberhumans/)
- Ravi Pavan | [LinkedIn](https://www.linkedin.com/in/contact-pavan/)
- Rachit Verma | [LinkedIn](https://www.linkedin.com/in/b43kd00r/)
- Chris Davis | [Twitter](https://twitter.com/cdchris12)
- Vincenzo De Naro Papa | [Twitter](https://twitter.com/vdenaropapa)
- Marek Jílek | [www.mjilek.cz](http://www.mjilek.cz/)
- Anshuman Pattnaik | [Twitter](https://twitter.com/anspattnaik), [hackbotone.com](https://hackbotone.com/)
- Jubin Sharma | [Twitter](https://twitter.com/brahms3c)
- Sarvagya Sonkar | [LinkedIn](https://www.linkedin.com/in/sarvagya-sonkar-42100a184)
- Naveen kumawat(nvk) | [Twitter](https://twitter.com/nvk0x)

 

 

- Ausaf Liaquat
- Amjad Kabaha - [Facebook](https://www.facebook.com/profile.php?id=100009061637038)
- Prakash Kumar - [LinkedIn](https://www.linkedin.com/in/prakashofficial/)
- Vishal Panchani (gujjuboy10x00) - [Twitter](https://twitter.com/vis_hacker)
- Ronak Nahar (naharronak) - [LinkedIn](https://www.linkedin.com/in/naharronak/)
- Chirag Gupta (chiraggupta8769) - [LinkedIn](https://www.linkedin.com/in/chiraggupta8769)
- Shoeb "CaptainFreak" Patel - [Twitter](https://twitter.com/0xCaptainFreak)
- Gokul Babu (gokul-babu-452b3b112) - [LinkedIn](https://www.linkedin.com/in/gokul-babu-452b3b112/)
- Suhas Gaikwad (iamsuhasgaikwad) - [Twitter](https://twitter.com/iamsuhasgaikwad)
- S.Vijay (cracbaby) - Twintech Solutions - [Facebook](http://facebook.com/cracbaby)
- Fabio Pires (fabiopirespt) - [Twitter](https://twitter.com/fabiopirespt)
- Francesco Mifsud (gradiusx) - [Twitter](https://twitter.com/gradiusx?lang=en)
- Cody Zacharias
- Kamil Sevi (kamilsevi) - [Twitter](https://twitter.com/kamilsevi?lang=en)
- Emanuel Bronshtein (e3amn2l) - [Twitter](https://twitter.com/e3amn2l?lang=en)
- M.R.Vignesh Kumar (vigneshkumarmr) - [Twitter](https://twitter.com/vigneshkumarmr?lang=en)
- Prajal Kulkarni
- Himanshu Kumar Das (mehimansu) - [Twitter](https://twitter.com/mehimansu?lang=en)
- Ajay Singh Negi
- Atulkumar Hariba Shedage

 

 

- Chiragh Dewan (ChiraghDewan) - [Twitter](https://twitter.com/chiraghdewan?lang=en)
- Rafay Baloch ([rafayhackingarticles.net](http://rafayhackingarticles.net/))
- SimranJeet Singh
- Adam Ziaja ([adamziaja.com](http://adamziaja.com/))
- Piyush Malik (ThePiyushMalik) - [Twitter](https://twitter.com/thepiyushmalik?lang=en)
- Harsha Vardhan
- Wan Ikram (rinakikun) - [Twitter](https://twitter.com/rinakikun?lang=en)
- Krutarth Shukla
- Narendra Bhati (narendradewsoft)- [Facebook](http://www.facebook.com/narendradewsoft)
- Ahmad Ashraff (yappare) - [Twitter](https://twitter.com/yappare?lang=en)
- Tejash Patel &amp; Parveen Yadav
- Joeri Poesen
- Vedachala (vedachalaka) - [Twitter](https://twitter.com/vedachalaka?lang=en)
- Sebastian Neef &amp; Tim Schäfers
- internetwache - [Twitter](https://twitter.com/internetwache)
- Vinesh Redkar ([AVsecurity.in](http://avsecurity.in/))
- Samandeep Singh
- Dhaval Chauhan (17haval) - [Twitter](https://twitter.com/17haval)
- Nitesh Shilpkar
- Umraz Ahmed (umrazahmed) - [Twitter](https://twitter.com/umrazahmed)

 

 

- Ehraz Ahmed (securityexe) - [Twitter](https://twitter.com/securityexe)
- Jigar Thakkar ([Infobit Technologies](http://www.infobittechnologies.com/))
- Tushar. R. Kumbhare ([Defencely](http://www.defencely.com/))
- Siddhesh Gawde
- Frans Rosén ([www.detectify.com](http://www.detectify.com/))
- Chirag Paghadal
- Yuji Kosuga (yujikosuga) - [Twitter](https://twitter.com/yujikosuga)
- Rafael Pablos ([silverneox.blogspot.com](http://silverneox.blogspot.com/))
- Reegun Richard Jayapaul (reegun) - [LinkedIn](http://www.linkedin.com/in/reegun)
- Nitin Goplani (nitingoplani) - [LinkedIn](http://in.linkedin.com/in/nitingoplani)
- Yogesh Modi
- Ali Hassan Ghori
- Turzo Ahmed
- Ashesh Kumar
- Muhammed Gamal Fahmy - [Facebook](https://www.facebook.com/profile.php?id=646694111)
- Mandeep Singh Jadon
- Kiran Karnad
- Akshay Pandurangi - [Facebook](https://www.facebook.com/akshay.pandurangi.7)
- Somesh Yadav
- Naveen Ramesh
- Omar HAMMOU ([https://hackerone.com/xramos](https://hackerone.com/xramos "https://hackerone.com/xramos")<a class="css-tgpl01" title="https://hackerone.com/xramos"></a>)