Trabajando juntos por un internet más seguro
Stackry está comprometido a trabajar con expertos en seguridad de todo el mundo para mantenerse al día con las últimas técnicas de seguridad. Si has descubierto un problema de seguridad que crees que deberíamos conocer, estaremos encantados de colaborar contigo. Por favor, infórmanos sobre el problema y haremos todo lo posible para corregirlo rápidamente.
Reglas de Compromiso
Reglas del Programa
Si bien queremos que nuestros hackers den lo mejor de sí, también queremos asegurarnos de que haya una interrupción mínima en nuestro negocio. Mientras se realiza la investigación, por favor asegúrate de lo siguiente:
- Envía una vulnerabilidad por informe, a menos que necesites encadenar vulnerabilidades para demostrar su impacto.
- Cuando ocurren duplicados, solo recompensamos el primer informe recibido (siempre que pueda reproducirse completamente).
- Múltiples vulnerabilidades causadas por un mismo problema subyacente recibirán una sola recompensa.
- La ingeniería social (por ejemplo, phishing, vishing, smishing) está prohibida.
- Haz un esfuerzo de buena fe para evitar violaciones de privacidad, destrucción de datos e interrupciones o degradación de nuestro servicio. Interactúa únicamente con cuentas que te pertenezcan o con el permiso explícito del titular de la cuenta.
- No podemos recompensar ni hacer negocios con ninguna persona que figure en las listas de sanciones de EE. UU. ni con ninguna persona que resida en un país incluido en dichas listas. Esto incluye a residentes de Cuba, Sudán, Corea del Norte, Irán o Siria.
- El nivel de gravedad se basa en el modelo de puntuación descrito a continuación; las excepciones se otorgan a discreción exclusiva del equipo de ingeniería de Stackry.
- Solo son elegibles los informes relacionados con el dominio stackry.com o sus subdominios.
Reglas de Pruebas
- No intentes acceder a información privada de los clientes.
- Nunca intentes ver, modificar o dañar datos pertenecientes a otros. Si necesitas probar una vulnerabilidad, crea una cuenta.
- No envíes informes generados por herramientas automáticas sin verificar una prueba de concepto (PoC) funcional.
- Por favor, proporciona tu dirección IP en el informe de errores.
Objetivos de Respuesta
Stackry hará todo lo posible por cumplir con los siguientes objetivos de respuesta para los hackers que participen en nuestro programa:
- Tiempo de primera respuesta (desde el envío del informe): 2 días hábiles
- Tiempo para la evaluación inicial (desde el envío del informe): 2 días hábiles
- Tiempo para la recompensa (desde la evaluación inicial): 1 día hábil (máximo 2 semanas)
- Tiempo de resolución: 30 días
Todos los plazos están en días hábiles.
Vulnerabilidades no calificadas y exclusiones:
- Token de sesión en la URL. Somos conscientes del token de sesión en la URL en algunas llamadas de imágenes en el sitio.
- Los tokens de restablecimiento de contraseña se invalidan después del primer uso, no después de su última emisión.
- Hay un valor en un archivo de configuración llamado api_key, que no está relacionado con la seguridad; es simplemente un identificador de marca.
- El registro no está validando direcciones (está limitado por tasa).
- Divulgación de nombre y versión del servidor
- Faltan encabezados de seguridad HTTP
- Faltan indicadores de cookies en cookies no sensibles.
- Faltan límites de tasa en servicios autenticados, a menos que el servicio pueda afectar a más que al usuario autenticado.
- Ataques de denegación de servicio, denegación de servicio distribuida u otros ataques de disponibilidad, a menos que sean el resultado de la ejecución de código.
- Ataques físicos contra cualquier oficina o centro de datos de Stackry.
- Ingeniería social, como el phishing o llamadas, dirigida a cualquier empleado, contratista o agente de Stackry.
- Por favor, no nos envíe resultados de escáneres de vulnerabilidades. Si se trata de un error real, debe proporcionar pasos para reproducirlo y/o una prueba de concepto. Cualquier informe automatizado enviado será cerrado sin ser evaluado.
- Versiones vulnerables de bibliotecas (por ejemplo, "jquery") sin un vector de ataque demostrable.
- La protección contra XSS del navegador web no está habilitada.
- Debilidades/informes similares no se pagarán como recompensas separadas. Por ejemplo, XSS en múltiples parámetros en el mismo endpoint.
- API de Google Maps: cualquier informe relacionado con la API de Google Maps se cerrará como informativo.
- Eludir los límites de tasa del servidor mediante solicitudes en ráfaga, siempre que no superen el número de servidores en funcionamiento.
- Los informes de credenciales de usuario encontradas en una base de datos en línea de combinaciones de nombres de usuario y contraseñas comprometidas se cerrarán como informativos, a menos que la filtración se deba a una vulnerabilidad en el sistema de Stackry.
Puerto Seguro
Cualquier actividad realizada de manera coherente con esta política se considerará una conducta autorizada y no iniciaremos acciones legales en su contra. Si un tercero inicia acciones legales contra usted en relación con actividades realizadas bajo esta política, tomaremos medidas para hacer saber que sus acciones se llevaron a cabo en cumplimiento de esta política.
Clasificación y Recompensas
Nuestras recompensas se basan en una escala de severidad que va de P1 a P5. Tenga en cuenta que estas son pautas generales y que las decisiones sobre recompensas quedan a la discreción de Stackry.com. Como referencia para la evaluación, utilizamos la siguiente taxonomía Taxonomía de Clasificación de Vulnerabilidades de Bugcrowd aunque es solo una guía general.
Nota: Los pagos de recompensas se realizan únicamente a través de PayPal.
| Prioridad |
Impacto |
Ejemplos |
Recompensa |
| P1 – Crítico |
Vulnerabilidades que causan una escalada de privilegios de usuario no autorizado a administrador o permiten la ejecución remota, el robo financiero, etc. |
- Ejecución remota de código
- Bypass de autenticación vertical
- Inyección de entidades externas XML con impacto significativo
- Inyección SQL con impacto significativo
|
$2,000+ |
| P2 – Alto |
Vulnerabilidades que afectan la seguridad de la plataforma, incluidos los procesos que esta soporta. |
- Bypass de autenticación lateral
- XSS almacenado con impacto significativo
- CSRF con impacto significativo
- Referencia directa a objetos con impacto significativo
- SSRF interna
|
$1,000+ |
| P3 – Medio |
Vulnerabilidades que afectan a múltiples usuarios y requieren poca o ninguna interacción del usuario para ser activadas. |
- XSS reflejado con impacto
- Referencia directa a objetos
- Redirección de URL
- CSRF con impacto
|
$500+ |
| P4 – Bajo |
Vulnerabilidades que afectan a usuarios individuales y requieren interacción o prerequisitos significativos (como un ataque Man-in-the-Middle) para ser activadas. |
- Errores de configuración de SSL con poco impacto
- Problemas de configuración de SPF
- XSS con impacto limitad
- CSRF con impacto limitado
|
$100+ |
| P5 – Riesgo Aceptablek |
Vulnerabilidades no explotables en la funcionalidad. Vulnerabilidades que son de diseño o que se consideran un riesgo comercial aceptable para el cliente. |
- Debug information
- Use of CAPTCHAs
- Code obfuscation
- Rate limiting, etc.
|
No suelen ser elegibles para una recompensa. |
Los informes de errores deben enviarse por correo electrónico a Stackry Support.
