Política de Divulgación de Vulnerabilidades
Introducción
Esta Política de Divulgación de Vulnerabilidades (VDP) se aplica a cualquier vulnerabilidad que consideres informar a Worksection. Por favor, lee esta VDP completamente antes de reportar una vulnerabilidad, y actúa siempre en cumplimiento con ella.
Agradecemos enormemente a las personas que dedican su tiempo y esfuerzo para revelar de manera responsable vulnerabilidades de seguridad de acuerdo con esta política. Apreciamos a los investigadores que nos ayudan en nuestros esfuerzos de seguridad y extendemos nuestra gratitud de antemano por tu presentación y discreción.
Tu prueba no debe violar ninguna ley ni interrumpir o comprometer ningún dato que no te pertenezca. Si encuentras una vulnerabilidad potencial que permita acceder a datos o recursos restringidos, debes notificarnos de inmediato; no continúes investigando la vulnerabilidad por tu cuenta.
Alcance
Esta política se aplica al siguiente dominio: https://worksection.com/
Orientación
Mientras fomentamos encarecidamente el descubrimiento y la divulgación responsables de vulnerabilidades, ciertas acciones están estrictamente prohibidas. Por favor, abstente de participar en las siguientes actividades:
- Realizar acciones que puedan tener un impacto negativo en la Empresa o en sus usuarios, como enviar spam, llevar a cabo ataques de fuerza bruta o lanzar ataques de Denegación de Servicio. Asimismo, evita cualquier prueba que pueda afectar el acceso al sistema o causar daños a los datos.
- Acceder o intentar acceder a cualquier dato o información que no te pertenezca. Es importante respetar los límites de acceso autorizado.
- Destruir, corromper o intentar destruir o corromper cualquier dato o información que no te pertenezca. Protégé la integridad y confidencialidad de los datos.
- Utilizar herramientas de escaneo invasivas o destructivas de alta intensidad con el propósito de identificar vulnerabilidades. Tales herramientas no deben ser empleadas, ya que pueden causar interrupciones innecesarias.
- Participar en pruebas físicas, incluyendo intentar acceder a oficinas, explotar puertas abiertas o hacer tailgating. Las técnicas de ingeniería social, como el phishing o el vishing, también están prohibidas. Enfócate únicamente en pruebas técnicas de vulnerabilidad.
- Realizar actividades de ingeniería social dirigidas a los miembros del equipo, contratistas o usuarios de la Empresa. Respeta la privacidad y confianza de las personas asociadas con nuestra organización.
- Violar cualquier ley o infringir acuerdos en tu búsqueda por descubrir vulnerabilidades. Adhiérete a los límites legales y éticos durante todo el proceso.
Al adherirte a estas pautas, aseguras que tus actividades de descubrimiento de vulnerabilidades se realicen de manera responsable y legal.
Exclusiones del alcance
Los siguientes hallazgos son específicamente no recompensables dentro de este programa:
- Divulgación de archivos o directorios públicos conocidos (por ejemplo, robots.txt)
- Clickjacking y ciertos problemas explotables solo a través de clickjacking
- Cross-Site Request Forgery de cierre de sesión (logout CSRF)
- Captcha débil
- Falta de banderas de cookie Segura y HTTPOnly
- Registros SPF/DKIM mal configurados o ausentes
- Falta de mejores prácticas de SSL/TLS
- Vulnerabilidades de DDoS
- Faltantes encabezados de seguridad HTTP, por ejemplo: Strict-Transport-Security, X‑Frame-Options, X‑XSS-Protection, X‑Content-Type-Options, Content-Security-Policy, X‑Content-Security-Policy, X‑WebKit-CSP, Content-Security-Policy-Report-Only
- Versiones de software desactualizadas
- Vulnerabilidades que afectan a usuarios de navegadores o plataformas desactualizadas
- Actividades de ingeniería social, phishing, físicas u otras actividades fraudulentas
- Auto-XSS que no puede ser utilizado para explotar a otros usuarios
- Vulnerabilidades en componentes de terceros
- Errores que requieren interacciones de usuario extremadamente poco probables
- Suplantación de contenido y problemas de inyección de texto sin un vector de ataque real y/o sin poder modificar HTML
- Toma de control de subdominio sin prueba de concepto
- Squatting de dominio u otras especulaciones de dominio
- Vulnerabilidades que requieren acceso físico al dispositivo de un usuario
- Informes de vulnerabilidades generados por escáneres o cualquier herramienta de explotación automatizada o activa
- Vulnerabilidades que involucran contenido activo, como complementos de navegador web
- Denegación de servicio (DoS/DDoS) y spam (SMS, correo electrónico, etc.)
- La mayoría de problemas de fuerza bruta sin un impacto claro
- Páneles de inicio de sesión públicamente accesibles sin prueba de explotación
- Divulgación de información pública de usuarios, así como información no sensible y moderadamente sensible
Informar una vulnerabilidad
Si has descubierto una posible vulnerabilidad de seguridad en nuestra plataforma, te solicitamos amablemente que la informes directamente al equipo de seguridad de la Empresa a través del correo electrónico security@worksection.ua. Esto asegura que tu informe nos llegue rápidamente, permitiéndonos responder de manera más efectiva. Por favor, evita enviar el informe a nuestra dirección de correo electrónico general o a través del chat de soporte.
Para mantener la confidencialidad de la vulnerabilidad, te pedimos que evites presentar un problema público o discutirlo en plataformas de redes sociales como Twitter o GitHub. Agradecemos tu cooperación en mantener la comunicación sobre la vulnerabilidad confidencial entre tú y nuestro equipo. Por favor, abstente de compartir tus informes o cualquier evidencia con otros usuarios o empresas.
Al enviar un informe de vulnerabilidad, asegúrate de que incluya la siguiente información esencial:
- Título claro y relevante. Proporciona un título conciso y descriptivo que refleje con precisión la naturaleza de la vulnerabilidad.
- Servicio/API afectada. Indica claramente el servicio o API específico que está afectado por la vulnerabilidad. Esto nos ayuda a comprender rápidamente el alcance del problema.
- Detalles de la vulnerabilidad e impacto. Explica minuciosamente la vulnerabilidad, incluidos sus detalles técnicos y el impacto potencial en nuestros sistemas o usuarios. Proporciona suficiente información para ayudarnos a comprender la naturaleza y gravedad de la vulnerabilidad.
- Pasos para reproducir / Prueba de concepto. Incluye instrucciones detalladas sobre cómo reproducir la vulnerabilidad, preferiblemente acompañadas de una Prueba de Concepto (PoC). La PoC puede presentarse en diversas formas como una demostración en video, capturas de pantalla de herramientas como Burp Suite, comandos curl o fragmentos de código relevantes. Estos materiales nos ayudan a verificar y comprender mejor la vulnerabilidad.
- Cualquier otro detalle importante. Siéntete libre de incluir cualquier información adicional que consideres relevante o útil para nuestra comprensión de la vulnerabilidad. Esto puede incluir configuraciones del sistema, registros relevantes o cualquier otra documentación de apoyo que pueda ayudar en el proceso de resolución.
Al proporcionar un informe completo que incluya estos elementos, contribuyes enormemente a que podamos evaluar y abordar eficientemente la vulnerabilidad reportada.
Qué sucede después de reportar una vulnerabilidad
Después de que hayas enviado tu informe, lo analizaremos en términos de impacto, gravedad y complejidad de explotación. Si consideramos que es relevante, te responderemos dentro de los quince (15) días hábiles. Te mantendremos informado de nuestro progreso.
Una vez que se haya remediado la vulnerabilidad reportada, te notificaremos, y podrías ser invitado a confirmar que la solución cubre adecuadamente la vulnerabilidad. Aceptamos solicitudes para divulgar tu informe una vez que se haya resuelto tu vulnerabilidad. Sin embargo, por favor, abstente de compartir información sobre cualquier vulnerabilidad descubierta durante 90 días naturales después de recibir nuestra confirmación de recepción de tu informe.
Recompensas
Por lo general, no ofrecemos recompensas en efectivo por las presentaciones. Sin embargo, podríamos hacer una excepción en el caso de errores críticos válidos e informes de alta calidad. El monto de la recompensa se determinará según el impacto máximo de la vulnerabilidad. Los informes que están bien redactados y se consideran útiles tienen una mayor probabilidad de ser considerados para una recompensa.
Por favor, ten en cuenta que solo la primera persona en informar un defecto previamente desconocido calificaría para una recompensa.