Programa de divulgación de vulnerabilidades

Nuestro Programa de Divulgación de Vulnerabilidades tiene como objetivo minimizar el impacto que cualquier fallo de seguridad tiene en nuestra herramienta o en los usuarios. Para poder optar al Programa, la vulnerabilidad debe existir en la última versión pública. Debe recordar que solo se calificarán las vulnerabilidades de seguridad.

Directrices y limitaciones de alcance

Antes de informar, por favor, revise la siguiente información, incluyendo nuestro programa de divulgación de vulnerabilidades, el alcance y otras directrices. Para fomentar la investigación de vulnerabilidades y evitar cualquier confusión entre la piratería de buena fe y el ataque malicioso, le pedimos que:

1. Siga este Programa de Divulgación, así como cualquier otro acuerdo relevante
2. No cause ningún daño, no obstaculice la fluidez de la aplicación ni actúe en contra de nuestro Acuerdo de Condiciones de Uso
3. No acceda intencionadamente a datos no públicos de Keybe más de lo necesario para demostrar la vulnerabilidad.
4. No acceda, modifique, destruya, guarde, transmita, altere, transfiera, utilice o vea datos que pertenezcan a otra persona que no sea usted. Si una vulnerabilidad proporciona un acceso involuntario a los datos, deje de hacer pruebas, purgue la información local y envíe un informe inmediatamente.
5. Evite violar la privacidad de otros, interrumpir nuestros sistemas, destruir datos y/o perjudicar la experiencia del usuario.
6. No comprometa la privacidad o la seguridad de nuestros clientes ni el funcionamiento de nuestros servicios. Dicha actividad será tratada como ilegal.
7. Mantenga la confidencialidad de los detalles de cualquier vulnerabilidad descubierta, de acuerdo con este Programa de Divulgación. La divulgación pública no coordinada de una vulnerabilidad puede dar lugar a la descalificación de este programa.
8. Cumplir con las leyes y reglamentos aplicables.
9. Utilizar únicamente los canales oficiales designados para discutir la información sobre vulnerabilidades con nosotros.
10. Al realizar una auténtica investigación de vulnerabilidades de acuerdo con este Programa de Divulgación, consideramos que esta investigación está Autorizada de acuerdo con la Ley de Fraude y Abuso Informático (CFAA) (y/o leyes estatales similares), y no iniciaremos ni apoyaremos acciones legales contra usted por violaciones accidentales y de buena fe de este Programa de Divulgación cuando realice una investigación genuina de vulnerabilidades.
11. Exento de la Ley de Derechos de Autor del Milenio Digital (DMCA), y no presentaremos una demanda contra usted por eludir los controles tecnológicos cuando realice una auténtica investigación de vulnerabilidad de acuerdo con este Programa de Divulgación.
12. Exento de las restricciones de nuestro Acuerdo de Condiciones de Uso que podrían interferir con la realización de una auténtica investigación de seguridad de vulnerabilidades, y renunciamos a esas restricciones de forma limitada para la investigación de vulnerabilidades genuinas realizada en el marco de este Programa de Divulgación.
13. Que sea legal, que ayude a la seguridad general de Internet y que se lleve a cabo de buena fe.

Nos reservamos el derecho a no actuar en caso de hallazgos que no tengan un impacto real en la integridad y seguridad de nuestros datos. Toda investigación que infrinja las condiciones de este Programa, el Acuerdo de Condiciones de Uso, la documentación relacionada con la seguridad y el GDPR, así como la legislación vigente, será tratada como una actuación de mala fe y de manera ilegal. No estamos obligados a proporcionar una remuneración, honorarios o recompensas por la divulgación de una vulnerabilidad; dicha acción queda a nuestra entera discreción.

Si en algún momento le preocupa o no está seguro de si su investigación de seguridad es coherente con este Programa de Divulgación, envíe un informe a través de uno de nuestros canales oficiales de notificación antes de seguir adelante.

Ámbito de aplicación

En este momento, los siguientes servicios y aplicaciones están en el ámbito de aplicación:

Aplicación e infraestructura web:

• https://keybe.ai/
• https://keybe.co/
• https://keybe.mx/
• https://keybe.us/
• https://keybe.app
• https://app.keybe.ai
• https://kb.live
• https://kbe.ai
• https://keybe.bio
• Cualquiera de los subdominios de tercer nivel keybe.ai
• Cualquier cosa con un impacto significativo en toda nuestra postura de seguridad o infraestructura

Fuera del ámbito de aplicación

Sólo aceptamos pruebas manuales o semi-manuales. Todos los hallazgos procedentes de herramientas o scripts automatizados se considerarán fuera de alcance. Además, todos los problemas que no tengan un impacto en la seguridad claramente identificado, los encabezados de seguridad que falten o los mensajes de error descriptivos se considerarán fuera del alcance.

Estos elementos también se consideran fuera del ámbito de aplicación:

1. Ataques diseñados o susceptibles de degradar, negar o afectar negativamente a los servicios o a la experiencia del usuario (por ejemplo, denegación de servicio, denegación de servicio distribuida, fuerza bruta, pulverización de contraseñas, spam…).
2. Ataques diseñados o susceptibles de destruir, corromper, hacer ilegibles (o intentarlo) datos o información que no le pertenecen.
3. Ataques diseñados o susceptibles de validar credenciales robadas, reutilización de credenciales, toma de cuentas (ATO), secuestro u otras técnicas basadas en credenciales.
4. Acceder intencionadamente a datos o información que no le pertenecen más allá del acceso mínimo viable necesario para demostrar la vulnerabilidad.
5. Realizar ataques físicos, de ingeniería social o electrónicos contra nuestro personal, oficinas, redes inalámbricas o propiedades.
6. Problemas de seguridad en aplicaciones, servicios o dependencias de terceros que se integren con los productos o la infraestructura de Keybe y que no tengan una prueba de concepto demostrable de la vulnerabilidad (por ejemplo, bibliotecas, servicios SAAS).
7. Problemas de seguridad o vulnerabilidades creadas o introducidas por el informante (por ejemplo, la modificación de una biblioteca en la que confiamos para incluir una vulnerabilidad con el único propósito de recibir una recompensa).
8. Ataques realizados en cualquier sistema que no se mencione explícitamente como autorizado y dentro del ámbito de aplicación.
9. Informes de falta de «mejores prácticas» u otras directrices que no indiquen un problema de seguridad.
10. Ataques relacionados con los servidores de correo electrónico, los protocolos de correo electrónico, la seguridad del correo electrónico (por ejemplo, SPF, DMARC, DKIM) o el spam.
11. Falta de indicadores de cookies en las cookies no sensibles.
12. Informes sobre cifrados SSL/TLS inseguros (a menos que vayan acompañados de una prueba de concepto que funcione).
13. Informes de cómo se puede saber si un determinado cliente puede autenticarse en un producto o servicio.
14. Informes de mapeos entre nombres de códigos y nombres de clientes.
15. Informes de escaneo simple de IP o puertos.
16. Falta de cabeceras HTTP (por ejemplo, falta de HSTS).
17. Mejores prácticas o controles de seguridad del correo electrónico (por ejemplo, SPF, DKIM, DMARC).
18. Banners, huellas digitales o reconocimientos de software o infraestructura sin vulnerabilidad probada.
19. Informes de clickjacking o XSS.
20. Informes de registros DNS públicamente resolubles o accesibles para hosts internos o infraestructura.
21. Phishing basado en dominios, typosquatting, punycodes, bit flips u otras técnicas.
22. Violación de cualquier ley o incumplimiento de cualquier acuerdo (o cualquier informe de lo mismo).

Informar

Los resultados deben estar respaldados por una documentación clara y precisa, sin información especulativa. Todos los hallazgos deben tener una indicación de la relevancia y el impacto. Recuerde proporcionar un resumen detallado de la vulnerabilidad, incluyendo el objetivo, los pasos, las herramientas y los artefactos utilizados durante el descubrimiento que nos permitirán reproducir la vulnerabilidad.

Para garantizar que sus observaciones se comunican correctamente, deberá utilizar únicamente los canales aprobados, es decir, deberá comunicar la vulnerabilidad descubierta por correo electrónico a [email protected]