Ir al contenido principal

Política de divulgación responsable

Escrito por Tim

En WebinarGeek, reconocemos el papel fundamental que desempeña la seguridad al brindar servicios de calidad a nuestra base de usuarios global. A pesar de nuestros continuos esfuerzos para salvaguardar nuestros sistemas, que puede encontrar descritos aquí, pueden surgir vulnerabilidades. Creemos en trabajar en colaboración con la comunidad de investigación de seguridad para identificar y resolver problemas de manera rápida y eficiente. Alentamos a los investigadores y piratas informáticos éticos a colaborar con nosotros de manera responsable para mejorar nuestro entorno digital.

Directrices para informar vulnerabilidades

Invitamos a investigadores y entusiastas de la seguridad a informar sobre posibles vulnerabilidades identificadas en nuestros sistemas con la comprensión y el acuerdo de las siguientes pautas:

  • Contacto: Dirija tus hallazgos a security@webinargeek.com. Proporcione información detallada, incluidos los pasos para reproducir la vulnerabilidad, para que nuestro equipo de seguridad pueda validar y solucionar el problema lo antes posible. Estamos seguros de que el cifrado de correo normal es suficiente para proporcionar la confidencialidad necesaria para informar de una vulnerabilidad. Sin embargo, si cree que tu informe de vulnerabilidad requiere el uso de cifrado PGP, puede encontrar nuestra clave pública al final de esta página.

  • Reconocimiento: Nos comprometemos a acusar recibo de tu informe dentro de los dos días hábiles.

  • Investigación & Resolución: Nuestro equipo dedicado investigará las vulnerabilidades reportadas y tratará de resolverlas dentro de una semana después del reconocimiento. La complejidad y gravedad del problema pueden afectar los tiempos de resolución.

  • Confidencialidad: Le solicitamos que mantenga la confidencialidad de cualquier vulnerabilidad descubierta hasta que la hayamos resuelto. Coordinaremos con usted la divulgación pública de cualquier hallazgo.

  • Recompensas & Acuse de recibo: Si bien no todos los informes pueden calificar para una recompensa, evaluamos los envíos caso por caso para detectar un posible reconocimiento o recompensa. La naturaleza de la recompensa dependerá de la gravedad y el impacto de la vulnerabilidad descubierta.

  • Protección Legal: Prometemos no iniciar acciones legales contra personas que informen vulnerabilidades siguiendo estas pautas, siempre que no hayan participado en actividades ilegales o hayan hecho un uso indebido de la vulnerabilidad descubierta.

Lo que no aceptamos

  • Intenta acceder, descargar o modificar datos pertenecientes a otros.

  • Ataques de denegación de servicio (DoS).

  • Spamming.

  • Ingeniería social o ataques físicos contra nuestra propiedad o datos.

Programa de recompensas

  • Las recompensas se determinan en función del nivel de riesgo de la vulnerabilidad de seguridad informada y quedan a discreción de WebinarGeek.

  • En caso de informes duplicados, la recompensa se otorgará al primer informante.

  • Las recompensas están sujetas a cambios y pueden variar según la singularidad y gravedad de la vulnerabilidad.

Fuera de alcance

  • Reportes de consultas o problemas no relacionados con la seguridad.

  • Servicios y software de terceros no administrados directamente por WebinarGeek.

  • Vulnerabilidades conocidas públicamente que ya se han solucionado.

  • Vulnerabilidades que son:

    • Códigos HTTP 404 u otros códigos no HTTP 200

    • Versión de banners sobre servicios públicos

    • Clickjacking en páginas sin inicio de sesión

    • Falsificación de solicitudes entre sitios (CSRF) en formularios a los que se puede acceder de forma anónima

    • Falta de indicadores 'seguros'/'Solo HTTP' en cookies no confidenciales

    • Notificaciones relacionadas con el certificado SSL (por ejemplo, cifrado débil)

    • Uso del método OPCIONES HTTP

    • Inyección de encabezado de host

    • Falta de registros SPF, DKIM y DMARC

    • Falta de DNSSEC

    • La falta de encabezados de seguridad HTTP

    • Informar sobre versiones obsoletas de software sin una prueba de concepto o exploit funcional

    • Mejores prácticas

Declaración de cierre

Tus contribuciones son invaluables para la seguridad e integridad de nuestros servicios. WebinarGeek se compromete a trabajar abiertamente con la comunidad de seguridad para mitigar y resolver las vulnerabilidades de manera responsable. Esperamos tus envíos y le agradecemos tus esfuerzos para ayudarnos a mantener nuestros sistemas seguros.

Si tiene más preguntas o envíos, comuníquese con security@webinargeek.com.

Clave PGP pública

-----BEGIN PGP PUBLIC KEY BLOCK----- Version: Mailvelope v5.1.2 Comment: https://mailvelope.com xsFNBGYiNvsBEACstiq6CSr87xh1aFp3xmnbv2/KOtKL8rQs9SUA8OgYIrmD zdMbdMzCY+OEcXlOi8huygkqDXX5s4VPUspjYFuPWp1U8WkGOzl68E6t2Tbi Rz464iRWVUkj/4rUxVOW22+XKiewHLmWgpbXwuxc4OSfUZpihvB135LmXJS6 yFTfv0M8s9hCYDsJ6wNa/V53UiLsXqUe/1rRFx1sLOYwjXaGZBpJyhKUpez5 Zq2a2qMKtBgFVfZ6Wv3Qzswc1Bpb/e14G2kFPwPQVdf38tmXXmcnZe31l9oG dP4EVLa29iPhaGL9Z4CBbWsyxJN8SAWIiFXKQhKxdw1GizqEPAbKHgezGPB9 CYI1NzrZtKS7weIIjC46hwGjSpp81xxhH8c+V8L7ZDGJ/wH709g60Qvs+Wo3 0gTfNtjwS2dhf+KMk+ZvdFP1p80xUm9Yx6OkrPs4KwPwBZ5YFgDsyarIau2H rDl6AU370OxVUCsvf0o+QAe4mpxosCfbBkaX/B5Glsr/8ZjPOPiZa1vxkFP/ AmygdbzuZBhCWhvp+w4Re01J1wH8RJHN7s7t4IoXLGb/mQZiOpd86mqJEiMy 2zjVB2B0mOQ29dE37XDE8B15QxTbAYkaXTEqi2c9vty5h+qYdOtw8aBBcX3c srkv9nVqSVsR2z9fNG/Q8GJPoJR+T5V9rXLtPQARAQABzS9XZWJpbmFyR2Vl ayBTZWN1cml0eSA8c2VjdXJpdHlAd2ViaW5hcmdlZWsuY29tPsLBigQQAQgA PgWCZiI2+wQLCQcICZAkstxUEqspXwMVCAoEFgACAQIZAQKbAwIeARYhBJVy WxNjs/qPf/cTtCSy3FQSqylfAABNrg//c/Q3RUtLJ8AflLl2Cack9MiL6zqJ 5Ynid83JuKor9/m2j/CXLeu05WYmMETUIIWRukgrKixjK/4GsnNuAdsuLdkB wJoi7laubateNSNOHP/UCCq0SS9h+S5RMhXRJu4hwJPfGpdFbnpTtEUf+w2p y1KgZkGJwGHgKXK+yecymudV+gWuuifZDhvPc7/UuIGXXXQSUcIH8Q3i4jWK xdFWlCv8Vbgg8fmAJVxYovBt9UAdv4x2gD325/unaK1yV8AEcKdX0jrKrzCV hNUPj4GlAiLzITQznfbRo9j6/iN579QCTqvuoM0x3y8hKDWzghQlXZrWw+PZ 5VkUC0eOOLipqswKuVRrpbUGmnz3Nx+d0hvUySeWxbol119seE3SG+GEvhA5 wjsWA4RaFF1rOv9OiBnIbrSjacBzsRjTixhwNZdbyFqVb55Ou5Sh6sHvJkam jPYVDTWA7lFANDJZkzNOeI0TvwyZLt6rSsv/YLxMLkcjwNSDKxhnRjnH05d3 JO5SEtT2+bLWMcCM4ENQGBcxG6NxMNN3dm9UFAMX+6Ig+Twi23+WnW0XIcRY MCIxkVe1KstDyD8OeshVtslbH3DS5ex13eRQdNuRDeuiqN1KANQKymHTNFWA KtH/oD8euhGHDxa4z9ASNAVHZVsSJZQrj9s5xpypzOgSoR0h8t2jvCXOwU0E ZiI2+wEQAMbSZcIFssfG0UIxegqAW8EFevvAhW1j+o8bWHn84lxSj7Ps5AZ1 a4jbcUFXR17UmRU7QlDPOQQ8+3dXoRavRWIoRpIN97H6Wj/BYkfQOqt3+znP 2RoggCpfaxee/XIPL7pI1M0p0lOxeTFxRBAaImOBzu4LMcGdI+z6n1bB2K5g qWsEOlR3PzsSwLdWukwPON5f5gvxcO8NK9ayUZwOqghuqZUMNVF29Bvy3qwm M+z7WrlwWCXPvdHlz2an+2HEMyoLSKI9Vkim7VM/LcddHVVM6iVAx7vJg4Aa wYjyJ79mXuEnVtj4q6FKXYl1xFJl9Q7YMqw4yrUz7dCg5FsgdXZhmPuvZKcM ZquruegkH/tlnmxcSdA+XpA//qbibbNTHDhxYgjoKHtWZ8ZJUE6fHjRXRKJC TTAe8tnmYjEePjRSR3BZ0e6/jLeA/8lvFv5zPjruDlRfRmiw+xOPBOu7gD+b Lpwa4F3mAVXwAM8yUP/ebt3MoAS39pWExAhxvQO1P9L5olTxZfHiFdN9lJZX 73bgRnf7BRzzZxtirGFQY9hs1Wsx37M30xM9RDibh49/Zn7r4U89LuwGiXx+ KVp4TO5uMI6wK2aTHyJwFyDIxQVYCFU0Bv8+YuF+JQTcBIwc6/HeTjhaV3VM KbBs198cldpmOjf4JRY3v731ngWgZKKnABEBAAHCwXYEGAEIACoFgmYiNvsJ kCSy3FQSqylfApsMFiEElXJbE2Oz+o9/9xO0JLLcVBKrKV8AAAU7D/4wENpv iFLuMYtlMTNakZEYje7Ezth/c1XjK0juryFxv+mRKlzcvqiQwR24b/xWXg6v qwKhyW8WgFEYnadZXCWd4XuIb6dWjtFKzHPdhr4revzJXRPliHM9r+Ywr78N nJ2MvkO9BjLfa2CfkuCaVR2q55rm5AUj8wZcCdLTOnAGbq/l1qwM4sQdU8rf JdSiKT8eDQk3GVDCRb9rnWv66VxTVqz2v9Wa1RT7DxZH89+X8cgYwOcX5hK6 Rs7WPMoxM7oXsGgUMe5zp+QmqeAVNtazAT/VkFDe43HZFVhuMWzJb/43mzDp MjH3E6xTCQq5iD494H5TtaC3P4OcOoSofiBZzKhHZZGPLzXAWkn17mC1Ls2T PeyNcjSXTFzpdanCfCcUEI5U2aiz0ncVRK9b43LCWO6dEl3TE7EedpHnOasl mUKT0Um7zrjCZEX7kYUmoUxP07VTjZEXINpc5PtmUkeYMvwZDa1TPfmOdVTs 6QTmyILhuGwGmkIwU0nookkp3Zmwbv+0PFVLsB5ZsFVtVEucweHgtz9WIo4A 6toKPmtcDwkrcJ8b3kCuq+bjdqPxmoGI8j8esN+Mlz45rFyBm7RHYZcTDgjn p/dOZB9C0sFDpfq39Vdqz+J1Ur3s4kBrsAL2OaPcU4Sn6WTfkzkOM5qGgDea bv7XodZw39niyfbpIw== =47Xu -----END PGP PUBLIC KEY BLOCK-----
Artículos relacionados
Webhooks
¿Ha quedado contestada tu pregunta?