Divulgación responsable
Nuestros clientes confían en nosotros para mantener sus datos seguros y confidenciales. Nos tomamos la seguridad muy en serio y trabajamos constantemente para garantizar una confianza sólida. ¿Tiene algo que reportar? Contáctenos en security@teamretro.com
Divulgación responsable
Animamos a todos los que practican la divulgación responsable y cumplen con nuestras políticas y términos de servicio a participar en nuestro programa de recompensas por errores. Evite las pruebas automatizadas y realice pruebas de seguridad únicamente con sus propios datos. No revele información sobre las vulnerabilidades hasta que las corrijamos. Las recompensas se otorgan a nuestra discreción, dependiendo de la gravedad de la vulnerabilidad reportada, y se distribuyen a través de PayPal.
Puedes reportar vulnerabilidades contactando a security@teamretro.com. Incluye una prueba de concepto. Responderemos a tu solicitud lo antes posible y no emprenderemos acciones legales si cumples las reglas.
Cobertura
- *.teamretro.com
Específicamente:- secure.teamretro.com
Exclusiones
- www.teamretro.com
- feedback.teamretro.com
- help.teamretro.com
- mail.teamretro.com
- status.teamretro.com
- track.teamretro.com
- *.eu.teamretro.com
Las vulnerabilidades aceptadas son las siguientes:
- Cross-Site Scripting (XSS)
- Open redirect
- Cross-site Request Forgery (CSRF)
- Command/File/URL inclusion
- Authentication issues
- Code execution
- Code or database injections
Este programa de recompensas por errores NO incluye
- Account/email enumerations
- Denial of Service (DoS)
- Ataques que podrían dañar la confiabilidad/integridad de nuestro negocio
- Ataques de spam
- Clickjacking en páginas sin autenticación y/o cambios de estado sensibles
- Mixed content warnings
- Lack of DNSSEC
- Content spoofing / text injection
- Timing attacks
- Social engineering
- Phishing
- Cookies inseguras para cookies no sensibles o cookies de terceros
- Vulnerabilidades que requieren una interacción del usuario extremadamente improbable
- Exploits que requieren acceso físico a la máquina de un usuario
- Encabezados de seguridad faltantes que no conducen directamente a una vulnerabilidad
- Faltan mejores prácticas (requerimos evidencia de una vulnerabilidad de seguridad)
El escaneo automatizado debe limitarse a 1 solicitud por segundo (1 rps) sin acuerdo previo, y todos los detalles de la recompensa por errores deben permanecer confidenciales.