Canal de vulnerabilidades do Grupo Iberdrola

No Grupo Iberdrola, estamos comprometidos em reforçar a segurança de nossos sistemas e a proteção de nossos ativos. Através deste formulário, recebemos comentários da comunidade de pesquisadores de segurança que contribuem para garantir produtos e serviços para todas as empresas do Grupo (Iberdrola S.A., as subholdings -Iberdrola España, S.A.U.; Scottish Power Ltd.; Avangrid, Inc.; Neoenergia, S.A.; Iberdrola México, S.A. de C.V. e Iberdrola Energía Internacional, S.A.U.- e todas as suas subsidiárias).
 
A pesquisa e análise de incidentes não pode ser usada como pretexto para entrar em um sistema sem autorização ou acessar seus dados de maneira indevida, pois qualquer atividade deve estar de acordo com a legislação vigente. Deve-se tomar um cuidado especial com:

  • Não realizar atividades que possam interromper ou degradar os serviços e/ou sistemas da Iberdrola.

  • Evitar testar qualquer serviço prestado por terceiros

  • Utilizar técnicas de engenharia social, que são proibidas

  • Se for obtido acesso a um sistema, conta ou dados de usuário, parar a atividade imediatamente e informar os administradores.

  • Não modificar ou destruir dados que não lhe pertençam.

  • Qualquer informação obtida durante a investigação deve ser eliminada de forma segura depois que a vulnerabilidade tiver sido notificada.

Típico Fora do Escopo

Uma vulnerabilidade só estará dentro do escopo se for demonstrado que haverá um impacto real para a Iberdrola, S.A.
Os seguintes tipos de vulnerabilidades são considerados de baixo impacto e seriam marcados como Fora do escopo se enviados:

  • Clickjacking/Reparação de UI.
  • Registros SPF/DMARC/DKIM incompletos ou ausentes.
  • Enumeração de conta/e-mail usando ataques de força bruta.
  • Enumeração da estrutura de diretórios (a menos que o ataque revele informações que possam ser de interesse específico para um invasor).
  • Vulnerabilidades que afetam usuários de navegadores, plugins ou plataformas desatualizados.
  • Mensagens de erro descritivas ou detalhadas sem comprovação de exploração ou obtenção de informações que possam ser consideradas confidenciais.
  • Divulgações de informações de baixo impacto.

AVISO - Se o que você relata não é uma vulnerabilidade relacionada aos sites do grupo e tem a ver com o funcionamento do seu suprimento ou qualquer outro problema, você pode encontrar a caixa de correio correspondente no link a seguir Contato Clientes.

Temos uma caixa de correio de contato onde nossos fornecedores podem comunicar potenciais incidentes de segurança cibernética. Você pode encontrar todas as informações aqui [PDF].