Programa de recompensas por errores
Nos comprometemos a proteger a nuestra comunidad y hemos establecido un programa de seguridad para que los usuarios informen de los problemas relacionados con la seguridad de nuestro sitio web.
Si crees que has encontrado una vulnerabilidad o un problema y te gustaría participar en nuestro programa, facilítanos una descripción detallada del problema, incluyendo los pasos que podemos dar para reproducirlo y/o una prueba de concepto.
Si envías un informe, deja un tiempo razonable para que nuestro equipo responda a tu informe y resuelva el problema. Apreciamos mucho tus esfuerzos por proteger nuestra comunidad y podemos recompensar a los participantes por su ayuda. Todos los informes están sujetos a los términos y condiciones de nuestro programa establecidos a continuación y a los Términos y Condiciones del Servicio disponibles en el sitio web.
Alcance
Agradecemos los informes sobre cualquier problema o vulnerabilidad relacionados con la seguridad que encuentres en nuestro sitio web. Sin embargo, te rogamos que no recurras a la suplantación de identidad, al envío de correo basura o a otros métodos cuestionables que puedan acosar a nuestros usuarios o comprometer sus datos, generar un tráfico importante o causar perturbaciones en nuestro sitio web. Se permite el uso de herramientas automatizadas de escaneo de seguridad siempre que no causen problemas.
Bounty
La recompensa mínima es de 100 dólares por infracciones de seguridad. La recompensa depende de la gravedad del fallo de seguridad. Los problemas que no afectan a la seguridad no son elegibles para una recompensa, pero siguen siendo bienvenidos y serán tratados como cualquier otro informe.
Elegibilidad
- Debes ser el primero en informar de la vulnerabilidad.
- No accedes a los datos de otros usuarios y sólo utilizas tus propias cuentas creadas.
- No debes revelar públicamente la vulnerabilidad hasta que la hayamos solucionado.
- Proporcionarás una prueba de concepto que explote la vulnerabilidad.
- El informe de vulnerabilidad se encriptará mediante PGP (para más detalles, consulta: Contacto).
Exclusión
Registro/desregistro CSRF
DDoS
Ingeniería social en clientes o empleados de HOT Group AG
Auto-XSS (requerimos una prueba de cómo se puede utilizar el XSS para atacar a otro usuario de Algolia)
Desconocimiento de los límites de la tarifa
Informe de herramientas y escaneos automatizados
Vulnerabilidades en el envío de spam o mensajes no autorizados
Errores en el software de terceros
Opciones de la trama X relacionadas con
Relacionado con el HSTS
DNSSEC
Falta de cabeceras de seguridad que no conducen directamente a una vulnerabilidad
Ataques físicos a la infraestructura
Ataques teóricos
Romper la confianza de SSL/TLS
Compromiso del navegador/dispositivo (por ejemplo, compartir un ordenador, acceder físicamente al dispositivo de un usuario, ...)
Vulnerabilidades que sólo afectan a los usuarios de navegadores y plataformas obsoletas o sin parches
Políticas de recuperación de contraseñas y cuentas, por ejemplo, caducidad del enlace de restablecimiento o complejidad de la contraseña
Vulnerabilidades sin resolver por nuestra parte (HEIST, ...)
Registros DNS obsoletos que apuntan a un sistema que no nos pertenece
Propiedad e incentivos
Cualquier informe que nos envíes pasa a ser de nuestra propiedad y no estamos obligados a responder a ningún informe. Sin embargo, si respondemos a una denuncia, podemos, a nuestra discreción, ofrecerte una compensación monetaria o no monetaria para mostrar nuestro agradecimiento por tu ayuda. Eres responsable de todos los impuestos y de cualquier gasto, coste o tasa asociados a tu participación en el Programa y a cualquier recompensa.
Descargo de responsabilidad de la garantía
RECONOCES Y ACEPTAS EXPRESAMENTE QUE: (1) TU PARTICIPACIÓN EN EL PROGRAMA Y EL USO DE CUALQUIER RECOMPENSA ES POR TU CUENTA Y RIESGO. HOT GROUP AG RECHAZA EXPRESAMENTE TODAS LAS GARANTÍAS DE CUALQUIER TIPO, EXPRESAS O IMPLÍCITAS, INCLUIDAS, PERO SIN LIMITARSE A ELLAS, LAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO Y NO INFRACCIÓN. HOT GROUP AG RECHAZA ESPECÍFICAMENTE CUALQUIER RESPONSABILIDAD POR LAS ACCIONES RESULTANTES DE TU PARTICIPACIÓN EN EL PROGRAMA O DEL USO DE CUALQUIER PREMIO.
Nota final
Te pedimos que sigas los principios de divulgación responsable y des a nuestro equipo de desarrollo un tiempo razonable para responder y corregir el problema presentado antes de hacerlo público. Te pedimos que te comuniques abiertamente con nosotros respecto a la publicación para que estemos de acuerdo sobre el informe y el calendario.
Muchas gracias, ¡apreciamos mucho tu esfuerzo! ¡Diviértete hackeando!
Si crees que has encontrado una vulnerabilidad o un problema y te gustaría participar en nuestro programa, facilítanos una descripción detallada del problema, incluyendo los pasos que podemos dar para reproducirlo y/o una prueba de concepto.
Si envías un informe, deja un tiempo razonable para que nuestro equipo responda a tu informe y resuelva el problema. Apreciamos mucho tus esfuerzos por proteger nuestra comunidad y podemos recompensar a los participantes por su ayuda. Todos los informes están sujetos a los términos y condiciones de nuestro programa establecidos a continuación y a los Términos y Condiciones del Servicio disponibles en el sitio web.
Alcance
Agradecemos los informes sobre cualquier problema o vulnerabilidad relacionados con la seguridad que encuentres en nuestro sitio web. Sin embargo, te rogamos que no recurras a la suplantación de identidad, al envío de correo basura o a otros métodos cuestionables que puedan acosar a nuestros usuarios o comprometer sus datos, generar un tráfico importante o causar perturbaciones en nuestro sitio web. Se permite el uso de herramientas automatizadas de escaneo de seguridad siempre que no causen problemas.
Bounty
La recompensa mínima es de 100 dólares por infracciones de seguridad. La recompensa depende de la gravedad del fallo de seguridad. Los problemas que no afectan a la seguridad no son elegibles para una recompensa, pero siguen siendo bienvenidos y serán tratados como cualquier otro informe.
Elegibilidad
- Debes ser el primero en informar de la vulnerabilidad.
- No accedes a los datos de otros usuarios y sólo utilizas tus propias cuentas creadas.
- No debes revelar públicamente la vulnerabilidad hasta que la hayamos solucionado.
- Proporcionarás una prueba de concepto que explote la vulnerabilidad.
- El informe de vulnerabilidad se encriptará mediante PGP (para más detalles, consulta: Contacto).
Exclusión
Registro/desregistro CSRF
DDoS
Ingeniería social en clientes o empleados de HOT Group AG
Auto-XSS (requerimos una prueba de cómo se puede utilizar el XSS para atacar a otro usuario de Algolia)
Desconocimiento de los límites de la tarifa
Informe de herramientas y escaneos automatizados
Vulnerabilidades en el envío de spam o mensajes no autorizados
Errores en el software de terceros
Opciones de la trama X relacionadas con
Relacionado con el HSTS
DNSSEC
Falta de cabeceras de seguridad que no conducen directamente a una vulnerabilidad
Ataques físicos a la infraestructura
Ataques teóricos
Romper la confianza de SSL/TLS
Compromiso del navegador/dispositivo (por ejemplo, compartir un ordenador, acceder físicamente al dispositivo de un usuario, ...)
Vulnerabilidades que sólo afectan a los usuarios de navegadores y plataformas obsoletas o sin parches
Políticas de recuperación de contraseñas y cuentas, por ejemplo, caducidad del enlace de restablecimiento o complejidad de la contraseña
Vulnerabilidades sin resolver por nuestra parte (HEIST, ...)
Registros DNS obsoletos que apuntan a un sistema que no nos pertenece
Propiedad e incentivos
Cualquier informe que nos envíes pasa a ser de nuestra propiedad y no estamos obligados a responder a ningún informe. Sin embargo, si respondemos a una denuncia, podemos, a nuestra discreción, ofrecerte una compensación monetaria o no monetaria para mostrar nuestro agradecimiento por tu ayuda. Eres responsable de todos los impuestos y de cualquier gasto, coste o tasa asociados a tu participación en el Programa y a cualquier recompensa.
Descargo de responsabilidad de la garantía
RECONOCES Y ACEPTAS EXPRESAMENTE QUE: (1) TU PARTICIPACIÓN EN EL PROGRAMA Y EL USO DE CUALQUIER RECOMPENSA ES POR TU CUENTA Y RIESGO. HOT GROUP AG RECHAZA EXPRESAMENTE TODAS LAS GARANTÍAS DE CUALQUIER TIPO, EXPRESAS O IMPLÍCITAS, INCLUIDAS, PERO SIN LIMITARSE A ELLAS, LAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO Y NO INFRACCIÓN. HOT GROUP AG RECHAZA ESPECÍFICAMENTE CUALQUIER RESPONSABILIDAD POR LAS ACCIONES RESULTANTES DE TU PARTICIPACIÓN EN EL PROGRAMA O DEL USO DE CUALQUIER PREMIO.
Nota final
Te pedimos que sigas los principios de divulgación responsable y des a nuestro equipo de desarrollo un tiempo razonable para responder y corregir el problema presentado antes de hacerlo público. Te pedimos que te comuniques abiertamente con nosotros respecto a la publicación para que estemos de acuerdo sobre el informe y el calendario.
Muchas gracias, ¡apreciamos mucho tu esfuerzo! ¡Diviértete hackeando!