¿Cómo notifico una vulnerabilidad de seguridad?

Divulgación responsable

Estamos comprometidos a proteger la información de nuestros clientes. Si cree que ha identificado una vulnerabilidad de seguridad, agradecemos su ayuda para revelarla de manera responsable al notificarnos por correo electrónico a security@vyond.com.

La seguridad es muy importante para nosotros e investigaremos y responderemos a todos los informes de vulnerabilidad. Estamos muy interesados en las vulnerabilidades asociadas con vyond.com.

Tenga en cuenta los siguientes puntos:

  • Describa las fallas con suficiente detalle e indique las ramificaciones de las vulnerabilidades.
  • Incluya una prueba de concepto reproducible, si corresponde, como fragmentos de código, URL de solicitud y cargas útiles de ataque, capturas de pantalla, archivos de seguimiento de paquetes o captura de video que demuestren la vulnerabilidad. Si es útil, enumere materiales de referencia en sitios externos si pueden ayudarnos a comprender mejor la naturaleza del problema.
  • Evite informar sobre varios tipos de vulnerabilidades en el mismo correo electrónico, ya que eso puede impedirnos agregar informes de vulnerabilidades similares y evitar que identifiquemos rápidamente vulnerabilidades críticas a su debido tiempo. Si tiene varias vulnerabilidades que informar, envíenos un correo electrónico para cada tipo de vulnerabilidad.
  • No realice pruebas que puedan afectar a nuestros clientes o provocar la degradación del servicio, como ataques de denegación de servicio, ingeniería social y correo no deseado. Se requiere la aprobación de Vyond antes del uso de escáneres automáticos, por ejemplo, Burp o Acunetix, en el sitio que genera un gran volumen de solicitudes en un corto período de tiempo.
  • No se le permite realizar pruebas de penetración a nivel de host.
  • No puede recopilar información asociada con ninguna cuenta que no sea suya. En caso de que accidentalmente se tope con dicha información, debe informarnos dicha vulnerabilidad y eliminar todas las copias de datos de terceros almacenadas localmente.
  • Mantenga sus hallazgos en secreto hasta que hayamos confirmado y solucionado los problemas.
  • Es posible que nos comuniquemos con usted para solicitar información adicional si su informe no contiene información suficiente para que comprendamos el contexto de los problemas que se informan.
  • Nos comunicaremos con usted entre 1 día hábil y 1 a 3 semanas, según la gravedad del problema y la calidad de su informe. Por favor, no nos bombardee con consultas de verificación de estado.
  • Las divulgaciones que califiquen pueden convertirlo en candidato para nuestro salón de la fama, como se describe a continuación.

Salón de la Fama

Si se descubre una vulnerabilidad grave, agradecemos su contribución al reconocer sus esfuerzos en nuestro salón de la fama sujeto a las siguientes disposiciones:

    • Si recibimos varios informes por la misma vulnerabilidad, solo se reconocerá el primer informe útil.
    • Vyond se reserva el derecho de elegir el "primer informe útil" mediante la evaluación de factores que incluyen, entre otros, la hora de recepción y la integridad del envío. El principio rector de acuerdo con la utilidad se basa en cuánto la presentación en sí misma nos ha ayudado a identificar y remediar una vulnerabilidad específica que califique para un reconocimiento.
    • Al enviarnos una vulnerabilidad, usted acepta que la decisión de si se debe proporcionar un reconocimiento queda a discreción exclusiva de Vyond.
    • Del mismo modo, Vyond se reserva el derecho de rechazar cualquier informe de vulnerabilidad a nuestra discreción.
    • Los agradecimientos se enumeran actualmente en la página de divulgación de seguridad. Vyond se reserva el derecho de trasladar el contenido a otra URL según sea necesario en el futuro debido a la reestructuración del sitio o por cualquier otro motivo.
    • No se proporcionará compensación monetaria.

 

  • Please note that Clickjacking and CSRF vulnerabilities are only reviewed for sites and pages where the ease of exploit and risk to vyond.com.

El Programa de divulgación de seguridad está sujeto a cambios o cancelación por parte de Vyond en cualquier momento, sin previo aviso. Como tal, Vyond puede modificar estos términos en cualquier momento mediante la publicación de una versión revisada en nuestro sitio web.

Problemas conocidos y elementos especiales

Estos son algunos de los elementos que se informan con frecuencia y que estamos en proceso de remediar o hemos decidido no abordar en este momento. Los informes sobre estos artículos no califican para un reconocimiento en el Salón de la Fama:

  • Problemas de gestión de sesiones relacionados con vyond.com relacionados con sesiones de larga duración y vulnerabilidades que requieren la repetición de cookies.
  • Falta de encabezados de seguridad específicos (por ejemplo, HSTS).

Tenga en cuenta que los sitios de servicio de Vyond que no forman parte de nuestras aplicaciones web no están dentro del alcance de nuestro programa de divulgación responsable y no son elegibles para el Salón de la Fama.

  • Terminales de terceros (a menos que se utilice un método de integración inseguro en nuestras aplicaciones web que esté dentro de nuestro alcance)
  • Sitio de marketing de Vyond (es decir, www.vyond.com)
  • Sitio de la comunidad Vyond (community.vyond.com)
  • Sitio de soporte de Vyond ( support.vyond.com / help.vyond.com)

A continuación, se enumeran ejemplos de vulnerabilidades que califican y no califican, respectivamente, para ser considerados para su inclusión en el salón de la fama. Las listas no son exhaustivas.

Ejemplos de vulnerabilidades que califican

  • Derivación de Autenticación
  • Cross site scripting
  • Ejecución del código del lado del servidor
  • Inyección SQL
  • Escalada de privilegios
  • Exposición de información sensible

Ejemplos de vulnerabilidades que

no califican

  • Denegación de servicio
  • Ingeniería social
  • Secuencias de comando de contenido mixto
  •  
  • Cookies inseguras
  • Vulnerabilidades que requieren que una víctima potencial instale software no estándar o tome medidas activas para volverse susceptible
  • Vulnerabilidades específicas de navegadores desactualizados
  • Divulgación de banner del lado del servidor web
  • Transferencia de tokens potencialmente confidenciales en solicitudes HTTP a widgets de terceros preautorizados

Queremos agradecer a las siguientes personas por informarnos las vulnerabilidades de manera responsable.

¡Gracias!

  • Rodolfo Godalle (@rodgodalle)
  • Koutrouss Naddara
  • Osama Mahmood
  • Thatipalli Abhishek
  • Mihir Mistry
  • Ch. Muhammad Osama (@ChMuhammadOsama)
  • Arvind Singh Shekhawat (@EhArvindSingh)
  • JAYVARDHAN SINGH (@Silent_Screamr)
  • Saurabh Chandrakant Nemade (@SaurabhNemade)
  • Anurag Giri
  • mahipal singh rajpurohit (@rajgurumahi007)
  • Sebastian Neef y Richard Kwasnicki
  • Renatas Karpuška
  • Muhammad Talha Khan (@M7K911)
  • Kesav Viswanath Nimmagadda (@kesavnimmagadda)
  • Kamil Sevi (@kamilsevi)
  • ajay singh negi (@AjaySinghNegi)
  • Nadi Abdellah
  • Roy Jansen (@RoyJansen_01
  • Jaidip Kotak (@JaidipKotak)
  • Ahmed Y. Elmogy
  • Ramin Farajpour Cami (@MF4rr3ll)
  • Ahmed Jerbi
  • Ayoub Ait Elmokhtar (@aessadek)
  • Sandeep Sudhagani
  • ABDULWAHAB Khan (@hackerwahab)
  • Pal Patel
  • RAVENAL PRAMOD KUMAR (@PramodRavela)
  • İsmail BÜLBÜL (Usgf.org.tr)
  • Ismail Tasdelen
  • Faizan Ahmed
  • Ather Iqbal
  • Hanz Gumapac
  • Akash Pandey (@HNTR03)
  • Sagar Kumar Patra (@SagarPatra2705)
¿Fue útil este artículo?
Usuarios a los que les pareció útil: 2 de 2
¿Tiene más preguntas? Enviar una solicitud