Programa de recompensas por errores

Nos comprometemos a proteger a nuestra comunidad y hemos establecido un programa de seguridad para que los usuarios informen de los problemas relacionados con la seguridad de nuestro sitio web.

Si crees que has encontrado una vulnerabilidad o un problema y te gustaría participar en nuestro programa, facilítanos una descripción detallada del problema, incluyendo los pasos que podemos dar para reproducirlo y/o una prueba de concepto.

Si envías un informe, deja un tiempo razonable para que nuestro equipo responda a tu informe y resuelva el problema. Apreciamos mucho tus esfuerzos por proteger nuestra comunidad y podemos recompensar a los participantes por su ayuda. Todos los informes están sujetos a los términos y condiciones de nuestro programa establecidos a continuación y a los Términos y Condiciones del Servicio disponibles en el sitio web.



Alcance

Agradecemos los informes sobre cualquier problema o vulnerabilidad relacionados con la seguridad que encuentres en nuestro sitio web. Sin embargo, te rogamos que no recurras a la suplantación de identidad, al envío de correo basura o a otros métodos cuestionables que puedan acosar a nuestros usuarios o comprometer sus datos, generar un tráfico importante o causar perturbaciones en nuestro sitio web. Se permite el uso de herramientas automatizadas de escaneo de seguridad siempre que no causen problemas.



Bounty

La recompensa mínima es de 100 dólares por infracciones de seguridad. La recompensa depende de la gravedad del fallo de seguridad. Los problemas que no afectan a la seguridad no son elegibles para una recompensa, pero siguen siendo bienvenidos y serán tratados como cualquier otro informe.



Elegibilidad

- Debes ser el primero en informar de la vulnerabilidad.

- No accedes a los datos de otros usuarios y sólo utilizas tus propias cuentas creadas.

- No debes revelar públicamente la vulnerabilidad hasta que la hayamos solucionado.

- Proporcionarás una prueba de concepto que explote la vulnerabilidad.

- El informe de vulnerabilidad se encriptará mediante PGP (para más detalles, consulta: Contacto).



Exclusión

Registro/desregistro CSRF

DDoS

Ingeniería social en clientes o empleados de HOT Group AG

Auto-XSS (requerimos una prueba de cómo se puede utilizar el XSS para atacar a otro usuario de Algolia)

Desconocimiento de los límites de la tarifa

Informe de herramientas y escaneos automatizados

Vulnerabilidades en el envío de spam o mensajes no autorizados

Errores en el software de terceros

Opciones de la trama X relacionadas con

Relacionado con el HSTS

DNSSEC

Falta de cabeceras de seguridad que no conducen directamente a una vulnerabilidad

Ataques físicos a la infraestructura

Ataques teóricos

Romper la confianza de SSL/TLS

Compromiso del navegador/dispositivo (por ejemplo, compartir un ordenador, acceder físicamente al dispositivo de un usuario, ...)

Vulnerabilidades que sólo afectan a los usuarios de navegadores y plataformas obsoletas o sin parches

Políticas de recuperación de contraseñas y cuentas, por ejemplo, caducidad del enlace de restablecimiento o complejidad de la contraseña

Vulnerabilidades sin resolver por nuestra parte (HEIST, ...)

Registros DNS obsoletos que apuntan a un sistema que no nos pertenece



Propiedad e incentivos

Cualquier informe que nos envíes pasa a ser de nuestra propiedad y no estamos obligados a responder a ningún informe. Sin embargo, si respondemos a una denuncia, podemos, a nuestra discreción, ofrecerte una compensación monetaria o no monetaria para mostrar nuestro agradecimiento por tu ayuda. Eres responsable de todos los impuestos y de cualquier gasto, coste o tasa asociados a tu participación en el Programa y a cualquier recompensa.



Descargo de responsabilidad de la garantía

RECONOCES Y ACEPTAS EXPRESAMENTE QUE: (1) TU PARTICIPACIÓN EN EL PROGRAMA Y EL USO DE CUALQUIER RECOMPENSA ES POR TU CUENTA Y RIESGO. HOT GROUP AG RECHAZA EXPRESAMENTE TODAS LAS GARANTÍAS DE CUALQUIER TIPO, EXPRESAS O IMPLÍCITAS, INCLUIDAS, PERO SIN LIMITARSE A ELLAS, LAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO Y NO INFRACCIÓN. HOT GROUP AG RECHAZA ESPECÍFICAMENTE CUALQUIER RESPONSABILIDAD POR LAS ACCIONES RESULTANTES DE TU PARTICIPACIÓN EN EL PROGRAMA O DEL USO DE CUALQUIER PREMIO.



Nota final

Te pedimos que sigas los principios de divulgación responsable y des a nuestro equipo de desarrollo un tiempo razonable para responder y corregir el problema presentado antes de hacerlo público. Te pedimos que te comuniques abiertamente con nosotros respecto a la publicación para que estemos de acuerdo sobre el informe y el calendario.



Muchas gracias, ¡apreciamos mucho tu esfuerzo! ¡Diviértete hackeando!