Publicación responsable de vulnerabilidades


POLÍTICA DE PUBLICACIÓN RESPONSABLE DE VULNERABILIDADES

Esta política está dirigida a investigadores de seguridad interesados en informar a The Mail Track Company S.L. (Mailtrack) de vulnerabilidades de seguridad, y debe ser leída en el contexto de las Condiciones de uso y contratación de Mailtrack.

Si crees haber descubierto una vulnerabilidad en un sitio o aplicación de Mailtrack, te rogamos encarecidamente que nos informes tan rápidamente como sea posible y no reveles públicamente la vulnerabilidad hasta que esté corregida. Te agradecemos tu ayuda, y revisamos todos los informes y hacemos todo lo que está en nuestra mano para resolver los problemas con celeridad. Para incentivar la revelación responsable, Mailtrack no te denunciará ni pedirá a las autoridades que te investiguen si determinamos que una revelación cumple las siguientes directrices:

Directrices de revelación responsable

  • Notificar a Mailtrack y proporcionarnos los detalles de la vulnerabilidad. Por favor danos un tiempo razonable para solventar el problema antes de revelarlo públicamente.
  • Proporcionar un nivel de detalle apropiado acerca de la vulnerabilidad para permitirnos identificar y reproducir el problema. Los detalles deben incluir los URLs objetivo, pares petición/respuesta, capturas de pantalla y/o otras informaciones.
  • Confirmaremos tu e-mail y evaluaremos la validez y reproducibilidad del problema. Para problemas válidos, trabajaremos para corregirlos y te mantendremos informado del avance del trabajo.
  • Hacer un esfuerzo razonable para evitar disrupciones en el servicio (e.g. DoS), violaciones privacidad (por ejemplo acceder a los datos de los usuarios de Mailtrack), y destrucción de datos durante la investigación de vulnerabilidades.
  • No solicitar compensación por los informes de vulnerabilidades de seguridad, ni a Mailtrack ni a mercados externos de vulnerabilidades.
  • No utilizar “phishing” ni ingeniería social contra empleados, colaboradores, o usuarios de Mailtrack.
  • No ejecutar herramientas de exploración (“scanning”) automáticas y enviarnos sus resultados sin confirmar que el problema está presente. Las herramientas de seguridad dan con frecuencia falsos positivos que deben ser confirmados por el informante.

Categorías de vulnerabilidades que alentamos

Estamos interesados principalmente en saber sobre las siguientes categorías de vulnerabilidades:

  • Cross Site Scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • Inyecciones de SQL (SQLi)
  • Problemas relacionados con la autenticación
  • Problemas relacionados con la autorización
  • Exposición de datos
  • Ataques de redirección
  • Ejecución remota de código
  • Vulnerabilidades particularmente inteligentes o problemas únicos que no caen en categorías explicitas

Categorías de vulnerabilidades fuera de ámbito

Las siguientes categorías de vulnerabilidades se considera fuera del ámbito de nuestro programa de revelación responsable y no merecen crédito en nuestra lista de investigadores:

  • Vulnerabilidades SSL relacionadas con la configuración o la versión
  • Denegación de servicio (DoS)
  • Enumeración de usuarios
  • Fuerza bruta
  • Falta de la marca “secure” en cookies no sensibles
  • Falta de la marca “HTTPOnly” en cookies no sensibles
  • Logout Cross Site Request Forgery (CSRF)
  • Problemas presentes solo en navegadores o extensiones antiguos
  • Método HTTP TRACE habilitado
  • Informes de vulnerabilidades relacionados con la información sobre números de versión de servidores web, servicios, o frameworks
  • “Clickjacking” en páginas sin autenticación y/o cambios de estado sensibles
  • Vulnerabilidades que requieren mucha cooperación por parte del usuario para realizar acciones improbables o ilógicas que serían más sintomáticas de un ataque de ingeniería social o de “phishing” que de no una vulnerabilidad de la aplicación (por ejemplo desactivar funciones de seguridad del navegador, enviar al atacante información crítica para completar el ataque, guiar al usuario a un proceso particular y requerirle que introduzca código malicioso él mismo, etc.).

Cómo reportar una vulnerabilidad de seguridad

Por favor envia e-mail a security-report@mailtrack.io para reportar vulnerabilidades de seguridad a Mailtrack. Si crees que el e-mail debe estar encriptado, nuestra clave PGP es:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1
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=IRpM
-----END PGP PUBLIC KEY BLOCK-----

Investigadores de seguridad participantes

2015
Fida Hussain
2016
Suhas Gaikwad