Informar de la vulnerabilidad

Informar de la vulnerabilidad

¿Ha descubierto una vulnerabilidad en nuestros sistemas? Entonces nos gustaría saber de usted. Con su ayuda, podemos mejorar nuestros servicios y su seguridad.

Puede informar de problemas relacionados con nuestros servicios en línea. Por ejemplo (pero no limitado a):

Secuencias de comandos entre sitios

Inyección SQL

Falsificación de solicitudes entre sitios (CSRF)

Debilidades en la autenticación

 

Nuestro conjunto de reglas

¿Nos está reportando una vulnerabilidad? ¿Y es relevante este informe? En ese caso, siempre te recompensamos con un pequeño regalo o Swag. Después de todo, has invertido tiempo y esfuerzo en tu investigación. ¿Es significativo su informe? Entonces usted puede ser elegible para una compensación. Tenemos un conjunto de reglas:

  • Actúe con integridad y no cause daños durante su investigación.
  • No interrumpa nuestros servicios si está investigando una vulnerabilidad.
  • Nunca divulgue información personal del cliente o nuestra.
  • Cualquier persona puede reportar una vulnerabilidad. Incluso si no eres cliente de Trad3s.
  • No comparta la vulnerabilidad con otras personas hasta que se resuelva. Hable con nuestros expertos y dénos tiempo para resolver el problema.
  • Solo manejamos informes en inglés u holandés.
  • No utilice ataques a la seguridad física, ingeniería social o herramientas de piratería como escáneres de vulnerabilidades.
  • No coloque una puerta trasera en ningún sistema (de información) ( para demostrar la vulnerabilidad. )
  • Haga un uso mínimo de una debilidad. Solo haga lo que sea necesario para determinar la vulnerabilidad.
  • No cambie ni elimine ningún dato del sistema (s).
  • Tenga cuidado al copiar datos.
  • No realice cambios en el sistema.
  • No intente repetidamente adivinar contraseñas para obtener acceso a los sistemas a través de ataques de fuerza bruta, ataques de diccionario y similares.

 

Exclusiones

Si se trata de una vulnerabilidad con un riesgo bajo o aceptado, Trad3s puede decidir no recompensar un informe. A continuación se presentan algunos ejemplos de tales vulnerabilidades:

  • Códigos HTTP 404 u otros códigos que no sean HTTP 200
  • Agregar texto sin formato en 404 páginas
  • Lanzar banners sobre los servicios públicos
  • Archivos y carpetas de acceso público que contienen información no confidencial
  • Clickjacking en páginas sin función de inicio de sesión
  • Falsificación de solicitudes entre sitios (CSRF) en formularios a los que se puede acceder de forma anónima
  • Falta de banderas ‘seguras’ / ‘HTTP Only’ en cookies no sensibles
  • Uso del método HTTP OPTIONS
  • Inyección de encabezado de host
  • Ausencia de registros SPF, DKIM y DMARC
  • Falta de DNSSEC
  • Faltan uno o más de los siguientes encabezados de seguridad HTTP:
  • Estricta seguridad en el transporte (HSTS)
  • Anclaje de clave pública HTTP (HPKP)
  • Contenido-Seguridad-Política (CSP)
  • X-Content-Type-Options
  • Opciones de X-Frame
  • X- WebKit -CSP
  • X-XSS- Protección

 

Qué sucede después de presentar un informe

Nuestros expertos en seguridad investigarán su informe. Recibirá una respuesta inicial dentro de los dos días hábiles. Puede informar a security@trad3s.com. Tal vez usted está haciendo algo en su investigación que está prohibido por la ley. Si lo hace de buena fe, cuidadosamente y de acuerdo con el conjunto de reglas mencionado anteriormente, tenemos la intención de no presentar cargos. Sin embargo, queremos poder equilibrar cada situación por separado. Nos consideramos moralmente obligados a presentar cargos si sospechamos que la vulnerabilidad o los datos están siendo mal utilizados, o que usted ha compartido conocimiento sobre la vulnerabilidad con otros.

 

Recompensa

Siempre le damos un pequeño regalo o Swag por el esfuerzo que ha realizado si lo que ha encontrado no está en la lista de exclusión. Si solucionamos vulnerabilidades o ajustamos nuestros servicios gracias a su informe, le daremos una compensación adecuada por esto. Trad3s decide si usted califica para esto y cuál es el monto del reembolso. ¿Otros informan de la misma vulnerabilidad? Entonces el reembolso es para el primer reportero.

 

Privacidad

Si ha realizado una denuncia, le pediremos sus datos de contacto (nombre, correo electrónico, clave pública PGP y número de teléfono). No damos su información a otros y no la utilizamos para otros fines. A menos que estemos legalmente obligados a hacerlo, por ejemplo, en el caso de una reclamación por parte de las autoridades judiciales.

 

AWS

Nuestros servicios se ejecutan en Amazon Web Services. Amazon tiene sus propias reglas con respecto a la prueba de pentesting de servicios en su plataforma. Le rogamos que tome nota de estas reglas y las cumpla mientras realiza su investigación.

 

URL: https://aws.amazon.com/security/penetration-testing/