En Spreaker, nos tomamos la seguridad muy en serio y creemos que toda ayuda es importante para descubrir y solucionar rápidamente errores y problemas de seguridad. Si crees que has encontrado un problema de seguridad en uno de nuestros servicios, estaremos encantados de trabajar contigo para resolverlo y nos aseguraremos de que seas recompensado por tu hallazgo.
Servicios incluidos en el programa
Los siguientes servicios NO están incluidos en el programa de recompensas porque son administrados por proveedores externos:
blog.spreaker.com
try.spreaker.com
help.spreaker.com
school.spreaker.com
elasticemail.spreaker.com
Tampoco están incluidos los complementos / inclusiones / sitios web de terceros (por ejemplo: un javascript incluido por un tercero).
Cualquier otro servicio web *.spreaker.com está incluido en el programa.
Vulnerabilidades admitidas
Se puede incluir en el programa cualquier problema de diseño o implementación que afecte significativamente a la confidencialidad o integridad de los datos de los usuarios (excepto cuando sean provocados por los propios usuarios). Se admiten:
Secuencias de comandos en sitios cruzados (XSS)
Falsificaciones de peticiones en sitios cruzados
Scripts de contenido mixto
Fallos de autenticación o autorización
Errores de ejecución de código del lado del servidor
Intrusiones del lado del servidor
Vulnerabilidades no admitidas
Vulnerabilidad ya reportada: vulnerabilidades ya reportadas por ti u otros investigadores que siguen abiertas. Dos vulnerabilidades son iguales si se ha notificado el mismo vector de ataque en más de dos servicios o páginas web
XSS "Do-it-yourself": vulnerabilidades que afectan solo a tu cuenta, que no se pueden utilizar para atacar a otros usuarios
Malas prácticas sin una prueba de concepto (POC): malas prácticas conocidas, sin pruebas reales de que puedan ser utilizadas como vector de ataque para realizar un ataque en Spreaker
Redirecciones de URL: solo tendremos en cuenta las redirecciones de URL que supongan un ataque práctico
Errores que requieran una interacción del usuario que es muy poco probable que se dé: por ejemplo, si se requiere que el usuario inserte manualmente un código XSS en un campo
Fallos que afecten a usuarios de navegadores no actualizados. Navegadores compatibles: Edge, Chrome, Firefox, Opera, Safari (últimas versiones)
Ataques DoS / DDoS
Ataques de fuerza bruta
Ataques "man in the middle" (de intermediario)
Política de divulgación responsable
Siempre que nos des un tiempo razonable para responder a tu informe antes de hacer pública cualquier información y hagas un esfuerzo de buena fe para evitar la violación de la privacidad, la destrucción de datos y la interrupción o degradación de nuestro servicio durante tu investigación, no presentaremos ninguna demanda contra ti ni pediremos a las fuerzas del orden que te investiguen.
Las pruebas automatizadas NO están permitidas
Si utilizas pruebas automatizadas, dejarás de formar parte del programa de recompensas por errores de forma automática y supondrá la cancelación de tu cuenta.
Cantidades de las recompensas
Las recompensas por los fallos admitidos, que se enviarán a tu cuenta de PayPal, oscilan entre los 100 y los 1.000 dólares. A continuación, se muestran las recompensas habituales que se conceden por las clases de errores más comunes:
hasta 100 $: vulnerabilidades que comprometan los datos de terceros (por ejemplo, editar los datos del perfil de usuario de un tercero)
hasta 500$: vulnerabilidades que comprometan globalmente las cuentas de los usuarios (por ejemplo, autenticarse como un tercero, eliminar cuentas de terceros, cambiar el correo electrónico o la contraseña de la cuenta de un tercero, etc.)
hasta 1000 $: vulnerabilidades que comprometan los datos privados y los servidores de Spreaker (por ejemplo, acceder al código fuente, consultar la base de datos, obtener acceso remoto al servidor, etc.)
IMPORTANTE: los pagos de recompensas solo se envían a través de PayPal. No hacemos excepciones.
Cómo informar de un problema
Si descubres una vulnerabilidad, envíanos un correo electrónico con una prueba de concepto real a security@spreaker.com.