Programa de Divulgación de Vulnerabilidades

La seguridad es un pilar fundamental de nuestros valores en JOIN, y agradecemos las aportaciones de investigadores de seguridad que actúan de buena fe para ayudarnos a mantener un alto estándar de seguridad y privacidad para nuestros usuarios. Esto incluye fomentar la investigación y divulgación responsable de vulnerabilidades. Esta política define qué entendemos por buena fe en el contexto del descubrimiento y reporte de vulnerabilidades, así como lo que puedes esperar de nosotros a cambio. Este es un programa sin recompensas y no ofrece compensación económica.

Expectativas

Al trabajar con nosotros conforme a esta política, puedes esperar que:

• Extendamos Puerto Seguro (Safe Harbor) para tu investigación de vulnerabilidades relacionada con esta política;
• Trabajemos contigo para comprender y validar tu informe, incluyendo una respuesta inicial oportuna a la presentación;
• Remediemos las vulnerabilidades descubiertas de manera oportuna.

Canales Oficiales

Cualquier vulnerabilidad que se considere dentro del alcance debe reportarse a [email protected]. Por favor, mantén toda la comunicación sobre vulnerabilidades reportadas dentro del mismo hilo de correo electrónico.

Lineamientos

Para fomentar la investigación de vulnerabilidades y evitar cualquier confusión entre investigación legítima y ataques maliciosos, te pedimos que intentes, de buena fe:

• Jugar según las reglas. Cumplir con esta política y con cualquier otro acuerdo relevante, por ejemplo, los Términos de Servicio;
• Reportar cualquier vulnerabilidad que hayas descubierto de manera inmediata;
• Evitar violar la privacidad de terceros, interrumpir nuestros sistemas, destruir datos y/o perjudicar la experiencia del usuario;
• Utilizar únicamente los Canales Oficiales para discutir información sobre vulnerabilidades con nosotros;
• Manejar la confidencialidad de los detalles de cualquier vulnerabilidad descubierta de acuerdo con la sección de Divulgación Coordinada a continuación;
• Realizar pruebas únicamente en sistemas dentro del alcance y respetar los sistemas y actividades que estén fuera del alcance;
• Si una vulnerabilidad proporciona acceso no intencionado a datos de usuarios, como Información de Identificación Personal (PII), o a información propietaria: detener las pruebas y enviar un informe de inmediato;
• Interactuar únicamente con cuentas que te pertenezcan, salvo que cuentes con permiso explícito del titular de la cuenta;
• No participar en extorsión;
• Ser claro y conciso: un enlace corto a una prueba de concepto es de gran valor;
• No intentar nunca ataques no técnicos —como ingeniería social, phishing o ataques físicos— contra nuestros empleados, usuarios o infraestructura; y
• No ver, alterar, guardar, almacenar, transferir ni acceder de ningún otro modo a nuestros datos o a los datos de nuestros usuarios sin permiso explícito.

Podemos modificar los términos o finalizar este programa en cualquier momento.

Puerto Seguro (Safe Harbor)

Al realizar investigación de vulnerabilidades conforme a esta política, consideramos que la investigación realizada bajo esta política es:

• Autorizada a la luz de cualquier ley aplicable contra el hacking, y no iniciaremos ni apoyaremos acciones legales contra ti por violaciones accidentales y de buena fe de esta política;
• Autorizada conforme a las leyes relevantes contra la elusión de medidas tecnológicas, y no presentaremos reclamaciones por la elusión de controles tecnológicos;
• Exenta de las restricciones de nuestra Política de Uso Aceptable que interfieran con la investigación de seguridad, y renunciamos a dichas restricciones de forma limitada;
• Legal, beneficiosa para la seguridad general de Internet y realizada de buena fe.

Como siempre, se espera que cumplas con todas las leyes aplicables. Si un tercero inicia acciones legales contra ti y has cumplido con esta política, tomaremos medidas para dejar claro que tus acciones se realizaron de conformidad con esta política.

Si en algún momento tienes inquietudes o no estás seguro de si tu investigación de seguridad es coherente con esta política, por favor escríbenos a [email protected] antes de continuar.

Dentro del Alcance (In-Scope)

Este programa se aplica únicamente a vulnerabilidades que afecten a sistemas alojados en join.com.

Cualquier problema de diseño o implementación que afecte sustancialmente la confidencialidad o integridad de los datos de los usuarios probablemente se considerará dentro del alcance. Algunos ejemplos comunes incluyen:

• Cross-site scripting (XSS).
• Cross-site request forgery (CSRF).
• Scripts de contenido mixto.
• Fallos de autenticación o autorización.
• Errores de ejecución de código del lado del servidor.
• Elusión de nuestro modelo de permisos.
• Inyección SQL.
• Ataques de entidades externas XML (XXE).

Si bien esta lista refleja la investigación que priorizamos, no debe considerarse exhaustiva. Cualquier informe que se refiera a un posible compromiso de datos sensibles de usuarios o de nuestros sistemas es de interés. Por extensión, esto incluye el reporte de debilidades de seguridad graves en cualquier dependencia —como bibliotecas de código abierto, software o componentes de terceros— utilizadas activamente en el desarrollo de nuestras propiedades y/o productos cubiertos por esta política.

Fuera del Alcance (Out-of-Scope)

Los siguientes temas están explícitamente fuera del alcance de este programa:

• Políticas sobre la presencia o ausencia de registros SPF/DMARC.
• Políticas de contraseñas, correo electrónico y cuentas, como verificación de ID de correo electrónico, expiración de enlaces de restablecimiento y complejidad de contraseñas.
• Cross-site request forgery en el cierre de sesión.
• Ataques que requieren acceso físico al dispositivo de un usuario.
• XSS en cualquier sitio que no sea join.com.
• Ataques que requieren una herramienta de explotación superpuesta a nuestra aplicación (por ejemplo, tapjacking).
• Vulnerabilidades que requieren que la posible víctima instale software no estándar o realice acciones activas para volverse susceptible.
• Vulnerabilidades que afectan a usuarios de navegadores o plataformas obsoletas.
• Ingeniería social dirigida a nuestros empleados o contratistas.
• Cualquier intento físico contra nuestras instalaciones o centros de datos.
• Presencia del atributo autocomplete en formularios web.
• Falta de banderas de cookies en cookies no sensibles.
• Cualquier acceso a datos que requiera que el usuario objetivo opere un dispositivo móvil rooteado.

Los siguientes temas están fuera del alcance de nuestro programa, a menos que estén acompañados de evidencia de explotabilidad:

• Uso de una biblioteca con vulnerabilidades conocidas.
• Falta de mejores prácticas.
• Cifrados SSL/TLS inseguros.
• Falta de encabezados de seguridad que no conduzcan directamente a una vulnerabilidad.
• Ausencia de tokens CSRF, excepto cuando exista evidencia de una acción sensible del usuario no protegida por un token.
• Inyecciones de encabezado Host.
• Informes de herramientas o escaneos automatizados que no hayan sido validados manualmente.
• Presencia de información de banners o versiones, salvo que se trate de una versión vulnerable.

Divulgación Coordinada

Los investigadores podrán compartir detalles de vulnerabilidades con terceros únicamente después de que la vulnerabilidad haya sido corregida y el Programa haya otorgado permiso para su divulgación.