Programa de divulgación de vulnerabilidades

La seguridad forma parte de los valores fundamentales de JOIN, y agradecemos la aportación de los investigadores de seguridad que actúan de buena fe para ayudarnos a mantener un alto estándar de seguridad y privacidad para nuestros usuarios. Esto incluye fomentar la investigación y la divulgación responsable de vulnerabilidades. Esta política define qué entendemos por buena fe en el contexto del descubrimiento y la notificación de vulnerabilidades, así como lo que puede esperar de nosotros a cambio.

Cuando colabora con nosotros conforme a esta política, puede esperar que:

• Extendamos el Safe Harbor a su investigación de vulnerabilidades relacionada con esta política;
• Trabajemos con usted para comprender y validar su informe, con una respuesta inicial oportuna a su envío;
• Subsanemos las vulnerabilidades descubiertas en plazos razonables.

Cualquier vulnerabilidad que se considere dentro del alcance debe notificarse a [email protected]. Le rogamos que mantenga confidencial toda comunicación sobre las vulnerabilidades notificadas entre usted y JOIN hasta que hayamos tenido ocasión de abordar el problema. Proporcione informes detallados con pasos reproducibles. Si el informe no es lo suficientemente detallado para reproducir el problema, este no será elegible para una recompensa.

Para fomentar la investigación de vulnerabilidades y evitar cualquier confusión entre la investigación legítima y un ataque malicioso, le pedimos que intente, de buena fe:

• Cumplir las reglas. Respete esta política y cualquier otro acuerdo pertinente, por ejemplo, los términos del servicio;
• Notificar sin demora cualquier vulnerabilidad que haya descubierto;
• Evitar vulnerar la privacidad de otras personas, interrumpir nuestros sistemas, destruir datos y/o perjudicar la experiencia del usuario;
• Utilizar únicamente los canales oficiales para hablar con nosotros sobre información de vulnerabilidades;
• Tratar la confidencialidad de los detalles de cualquier vulnerabilidad descubierta conforme a la sección Divulgación coordinada que figura más abajo;
• Realizar pruebas únicamente en sistemas dentro del alcance y respetar los sistemas y actividades que estén fuera de él;
• Si una vulnerabilidad proporciona acceso involuntario a datos de usuarios, como información personal identificable (PII) o información propietaria, deberá detener las pruebas, presentar un informe de inmediato y no guardar, almacenar, transferir ni acceder de ningún otro modo a los datos;
• Interactuar únicamente con cuentas de su propiedad, salvo permiso explícito del titular de la cuenta;
• No incurrir en extorsión;
• Ser claro y conciso. Un enlace breve a una prueba de concepto es de gran valor;
• No intentar nunca ataques no técnicos (ingeniería social, phishing, ataques físicos) contra nuestros empleados, usuarios o infraestructura;
• No consultar, modificar, guardar, almacenar, transferir ni acceder de ningún otro modo a nuestros datos ni a los de nuestros usuarios sin permiso explícito.

Podemos modificar las condiciones o dar por terminado este programa en cualquier momento.

Cuando lleve a cabo una investigación de vulnerabilidades conforme a esta política, consideramos que la investigación realizada en virtud de esta política es:

• Autorizada conforme a las leyes anti-hacking aplicables, y no iniciaremos ni apoyaremos acciones legales contra usted por incumplimientos accidentales y de buena fe de esta política;
• Autorizada conforme a las leyes anti-elusión pertinentes, y no presentaremos reclamaciones contra usted por la elusión de controles técnicos;
• Exenta de las restricciones de nuestra política de uso aceptable que interfieran con la realización de investigación de seguridad, y renunciamos a esas restricciones de forma limitada;
• Lícita, útil para la seguridad general de Internet y realizada de buena fe.

Como siempre, se espera que cumpla con todas las leyes aplicables. Si un tercero inicia acciones legales contra usted y usted ha cumplido con esta política, tomaremos medidas para hacer saber que sus acciones se llevaron a cabo conforme a esta política.

Si en algún momento tiene dudas o no está seguro de si su investigación de seguridad es coherente con esta política, escríbanos a [email protected] antes de seguir adelante.

Este programa se aplica únicamente a las vulnerabilidades que afecten a sistemas alojados en join.com.

Cualquier problema de diseño o de implementación que afecte sustancialmente a la confidencialidad o integridad de los datos de los usuarios se considerará probablemente dentro del alcance. Algunos ejemplos habituales son:

• Cross-Site Scripting.
• Cross-Site Request Forgery.
• Scripts de contenido mixto.
• Fallos de autenticación o autorización.
• Errores de ejecución de código del lado del servidor.
• Elusión de nuestro modelo de permisos.
• Inyección SQL.
• Ataques XML External Entity.

Aunque esta lista refleja la investigación que priorizamos, no debe considerarse exhaustiva. Cualquier informe que se refiera a una posible vulneración de datos de usuarios estará probablemente dentro del alcance.

Las siguientes cuestiones quedan expresamente fuera del alcance de este programa:

• Políticas sobre presencia o ausencia de registros SPF/DMARC.
• Políticas de contraseña, correo y cuenta, como la verificación del identificador de correo, la caducidad de los enlaces de restablecimiento y la complejidad de la contraseña.
• Cross-Site Request Forgery en el cierre de sesión.
• Ataques que requieran acceso físico al dispositivo del usuario.
• XSS en cualquier sitio que no sea join.com.
• Ataques que requieran una herramienta de explotación superpuesta a nuestra aplicación (por ejemplo, tapjacking).
• Vulnerabilidades que requieran que la víctima potencial instale software no estándar o realice otras acciones activas para hacerse vulnerable.
• Vulnerabilidades que afecten a usuarios de navegadores o plataformas obsoletas.
• Ingeniería social dirigida a nuestros empleados o contratistas.
• Cualquier intento físico contra nuestras instalaciones o centros de datos.
• Presencia del atributo autocomplete en formularios web.
• Ausencia de banderas en cookies no sensibles.
• Cualquier acceso a datos que requiera que el usuario objetivo utilice un dispositivo móvil con root.

Las siguientes cuestiones están fuera del alcance de nuestro programa, salvo que se acompañen de pruebas de explotabilidad:

• Uso de una biblioteca conocida como vulnerable.
• Falta de buenas prácticas.
• Cifrados SSL/TLS inseguros.
• Cabeceras de seguridad ausentes que no conducen directamente a una vulnerabilidad.
• Falta de tokens CSRF, salvo cuando exista evidencia de una acción sensible del usuario no protegida por un token.
• Inyecciones de cabecera Host.
• Informes procedentes de herramientas o escaneos automatizados que no se hayan validado manualmente.
• Presencia de información de banner o versión, salvo que se trate de una versión vulnerable.

Los investigadores podrán compartir los detalles de la vulnerabilidad con terceros únicamente después de que la vulnerabilidad haya sido corregida y el Programa haya concedido su aprobación. Trabajaremos con usted para establecer un calendario de divulgación razonable, en función de la gravedad y complejidad del problema.

¿Preguntas sobre este programa? Contacte con nuestro equipo de seguridad en [email protected].