Política de divulgación responsable

09-09-2024

Nos esforzamos por mantener nuestro software y los datos que recopilamos de la forma más segura posible. Si ha descubierto una vulnerabilidad de seguridad, le preguntamos no para compartir esto públicamente, sino para compartirlo con nosotros. Envíenos un correo electrónico a dev@secretview.io e incluye la siguiente información:

  • La naturaleza de la vulnerabilidad
  • Descripción de la vulnerabilidad
  • Cómo podemos reproducir la vulnerabilidad
  • Los navegadores y las versiones en los que probó
  • Los sistemas operativos y las versiones en los que probó

Por favor, incluye también algo sobre ti:

  • Nombre
  • Correo electrónico
  • Dirección
  • Experiencia

Sigue estas reglas:

  • No elimine ni acceda ni intente eliminar ni acceder a ningún dato al que no esté autorizado a acceder
  • No interrumpa ni intente interrumpir nuestros servicios
  • No acceda ni modifique ningún dato
  • No ejecute ni intente ejecutar un ataque de denegación de servicio (DoS)
  • No ejecute ninguna herramienta automatizada en nuestros servidores sin coordinación previa.
  • No abuse ni intente abusar de los recursos de nuestros servidores
  • No comparta públicamente ningún detalle del problema
  • No intentes chantajearnos ni tratar de vendernos tu informe

A cambio:

  • No emprenderemos ninguna acción legal contra ti si sigues las reglas anteriores
  • Realizaremos una evaluación de riesgos para cada vulnerabilidad reportada
  • Responderemos a todos los informes enviados correctamente en un plazo de 2 semanas

Si no cumple con estas reglas, no procesaremos la denuncia. No ofrecemos ninguna compensación por los informes de seguridad.

Qué no se considera un informe válido

  • Vulnerabilidades de las que se ha informado anteriormente.
  • Las vulnerabilidades conocidas en los componentes de nuestro paquete tecnológico se notificaron en un plazo de 72 horas desde su lanzamiento.
  • Problemas de seguridad que solo podemos reproducir en condiciones muy específicas.
  • Errores o funciones que demuestren que Secret View conoce una dirección de correo electrónico u otra información personal, así como la capacidad de usar la fuerza bruta para recopilar la información.
  • Vulnerabilidades que son un riesgo aceptado, que incluyen, entre otras, las siguientes:
    - Posibilidad de registrarse y utilizar nuestros servicios sin confirmar una dirección de correo electrónico.
    - Falta de CAPTCHA en los formularios.
    - Falta de uso de hardfail {(-all)} en los registros SPF.
    - Falta de un registro de {rechazo} en DMARC
    - Falta de registros de DNS como CAA.
  • El hackeo de clics y los problemas que solo se pueden explotar mediante el hackeo de clics
  • Falta de indicadores Secure/HttpOnly en las cookies no sensibles
  • OPCIONES Método HTTPS habilitado
  • Inyección de encabezado de host
  • Cualquier cosa relacionada con los encabezados de seguridad HTTP, p. ej.,
    - Estricta seguridad en el transporte
    - Opciones de X-Frame
    - Protección X-XSS
    - Opciones de tipo de contenido X
    - Política de seguridad del contenido

¿Cómo se gestionan los informes para los proveedores externos?

En nuestro sitio web y nuestra plataforma, utilizamos varios proveedores externos. Si tu informe se refiere a un problema relacionado con uno de estos proveedores, se lo enviaremos y consideraremos que el proceso de denuncia ha finalizado.

No es una invitación para escanear activamente

Nuestra Política de divulgación responsable no es una invitación a analizar activamente nuestros sistemas en busca de debilidades. Supervisamos nuestro sistema y lo mejoramos continuamente. Para cada vulnerabilidad posible, evaluamos mejor el riesgo y el impacto y determinamos si esto es aceptable o si debe solucionarse. Esto depende totalmente de nuestra discreción.

Si tienes varios informes, intentaremos gestionarlos al mismo tiempo; sin embargo, como se ha indicado anteriormente, no te recomendamos que los escanees de forma activa.

Alentamos a denunciar todas las vulnerabilidades, pero desaconsejamos el uso de herramientas automatizadas. También las utilizamos. El uso de herramientas automatizadas para encontrar o denunciar vulnerabilidades puede provocar la duplicación de informes. En estos casos, su informe podría considerarse inválido.

Si tiene alguna pregunta sobre las reglas anteriores, no dude en ponerse en contacto con nosotros enviando un correo electrónico a dev@secretview.io.Responderemos a todos los informes enviados correctamente en un plazo de 2 semanas. Si han pasado dos semanas, no dudes en solicitar una actualización, pero hasta entonces ten paciencia mientras analizamos el informe y nuestro equipo lo ejecuta.

¡Gracias!