Programa de divulgación de vulnerabilidades

Nuestro Programa de Divulgación de Vulnerabilidades tiene como objetivo minimizar el impacto que cualquier fallo de seguridad pueda tener en nuestra herramienta o usuarios. Para calificar para el Programa, la vulnerabilidad debe existir en la última versión pública. Debes tener en cuenta que solo se calificarán las vulnerabilidades de seguridad.

Directrices y limitaciones de alcance

Antes de informar, por favor revise la siguiente información, incluyendo nuestro programa de divulgación de vulnerabilidades, alcance y otras pautas. Para fomentar la investigación de vulnerabilidades y evitar cualquier confusión entre hacking de buena fe y ataques maliciosos, le pedimos que:

  • Siga este Programa de Divulgación, así como cualquier otro acuerdo relevante.
  • No cause ningún daño, obstaculice la fluidez de la aplicación o actúe en contra de nuestro Acuerdo de Condiciones de Uso
  • No acceda intencionalmente a datos no públicos de Kommo más allá de lo necesario para demostrar la vulnerabilidad.
  • No acceda, modifique, destruya, guarde, transmita, altere, transfiera, use o vea datos que pertenezcan a cualquier persona que no sea usted. Si una vulnerabilidad proporciona acceso no intencionado a datos, cese las pruebas, elimine la información local y presente un informe de inmediato.
  • Evite violar la privacidad de otros, interrumpir nuestros sistemas, destruir datos y/o perjudicar la experiencia del usuario.
  • No comprometa la privacidad o seguridad de nuestros clientes ni el funcionamiento de nuestros servicios. Dichas actividades se considerarán ilegales.
  • Mantenga confidenciales los detalles de cualquier vulnerabilidad descubierta, de acuerdo con este Programa de Divulgación. La divulgación pública no coordinada de una vulnerabilidad puede resultar en la descalificación de este programa.
  • Cumpla con las leyes y regulaciones aplicables.
  • Utilice solo los canales oficiales designados (consulte "Informe") para discutir información sobre vulnerabilidades con nosotros.

Al realizar una investigación de vulnerabilidades genuina y dentro del alcance de acuerdo con este Programa de Divulgación, consideramos que esta investigación es:

  • Autorizado de acuerdo con la Ley de Fraude y Abuso Informático (CFAA) (y/o leyes estatales similares), y no iniciaremos ni respaldaremos acciones legales en su contra por violaciones accidentales de buena fe de este Programa de Divulgación al realizar una investigación legítima de vulnerabilidades.
  • Exento de la Ley de Derechos de Autor del Milenio Digital (DMCA), y no presentaremos una reclamación en su contra por eludir controles tecnológicos al realizar una investigación legítima de vulnerabilidades de acuerdo con este Programa de Divulgación.
  • Exento de las restricciones en nuestro Acuerdo de Condiciones de Uso que interferirían con la realización de una investigación legítima de seguridad de vulnerabilidades, y renunciamos a esas restricciones de manera limitada para la investigación legítima de vulnerabilidades realizada bajo este Programa de Divulgación.
  • Legal, útil para la seguridad general de Internet y realizada de buena fe.

Nos reservamos el derecho de no actuar en caso de encontrar hallazgos sin impacto real de riesgo en la integridad y seguridad de nuestros datos. Toda investigación que viole los términos de este programa, el acuerdo de Términos de Uso, la seguridad y documentación relacionada con el GDPR, así como la ley vigente, será considerada como una acción realizada de mala fe y de forma ilegal. No estamos obligados a proporcionar remuneración, tarifa o recompensas por cualquier divulgación de vulnerabilidad; dicha acción queda a nuestro completo criterio.

Si en algún momento tienes preocupaciones o no estás seguro si tu investigación de seguridad cumple con este Programa de Divulgación, por favor envía un informe a través de uno de nuestros canales oficiales de reporte antes de proceder más adelante.

Alcance

En este momento, los siguientes servicios y aplicaciones están dentro del alcance:

  • Aplicación web e infraestructura: https://www.kommo.com
  • Cualquier subdominio de tercer nivel de Kommo.com
  • Cualquier cosa con un impacto significativo en nuestra postura de seguridad o infraestructura en su totalidad.

Fuera del alcance

Sólo aceptamos pruebas manuales o semimanuales. Todos los hallazgos procedentes de herramientas o scripts automatizados se considerarán fuera del ámbito de aplicación. Además, se considerarán fuera del ámbito todos los problemas sin impacto en la seguridad claramente identificado, las cabeceras de seguridad que falten o los mensajes de error descriptivos.

Estos elementos también se considerarán fuera del ámbito o alcance:

  • Ataques diseñados o que puedan degradar, denegar o afectar negativamente a los servicios o a la experiencia del usuario (por ejemplo, denegación de servicio, denegación de servicio distribuida, fuerza bruta, pulverización de contraseñas, spam...).
  • Ataques diseñados o susceptibles de destruir, corromper, hacer ilegibles (o intentos de hacerlo) datos o información que no le pertenezcan.
  • Ataques diseñados o susceptibles de validar credenciales robadas, reutilización de credenciales, toma de control de cuentas (ATO), secuestro u otras técnicas basadas en credenciales.
  • Acceder intencionadamente a datos o información que no le pertenecen más allá del acceso mínimo viable necesario para demostrar la vulnerabilidad.
  • Realizar ataques físicos, de ingeniería social o electrónicos contra nuestro personal, oficinas, redes inalámbricas o propiedades.
  • Problemas de seguridad en aplicaciones, servicios o dependencias de terceros que se integren con productos o infraestructuras de Kommo que no tengan una prueba de concepto demostrable de la vulnerabilidad (por ejemplo, bibliotecas, servicios SAAS).
  • Problemas de seguridad o vulnerabilidades creados o introducidos por el informador (por ejemplo, modificar una biblioteca en la que confiamos para incluir una vulnerabilidad con el único propósito de recibir una recompensa).
  • Ataques realizados en cualquier sistema no mencionado explícitamente como autorizado y dentro del ámbito de aplicación.
  • Informes sobre la ausencia de "buenas prácticas" u otras directrices que no indiquen un problema de seguridad.
  • Ataques relacionados con servidores de correo electrónico, protocolos de correo electrónico, seguridad del correo electrónico (por ejemplo, SPF, DMARC, DKIM) o spam.
  • Ausencia de indicadores de cookies no sensibles.
  • Informes de cifrados SSL/TLS inseguros (a menos que vayan acompañados de una prueba de concepto funcional).
  • Informes sobre cómo saber si un cliente determinado puede autenticarse en un producto o servicio de Kommo.
  • Informes de asignaciones entre nombres de código y nombres de cliente.
  • Informes de un simple escaneo de IP o puerto.
  • Falta de cabeceras HTTP (por ejemplo, falta de HSTS).
  • Mejores prácticas o controles de seguridad del correo electrónico (por ejemplo, SPF, DKIM, DMARC).
  • Bannering, fingerprinting o reconocimiento de software o infraestructura sin vulnerabilidad probada.
  • Informes de clickjacking o autoXSS.
  • Informes de registros DNS públicamente resolubles o accesibles para hosts internos o infraestructura.
  • Phishing basado en dominios, typosquatting, punycodes, bitflips u otras técnicas.
  • Violación de leyes o acuerdos (o cualquier informe al respecto).

Informes

Sus conclusiones deben estar respaldadas por documentación clara y precisa, sin información especulativa. Todos los hallazgos deben tener una indicación de relevancia e impacto. Recuerde proporcionar un resumen detallado de la vulnerabilidad, incluidos el objetivo, los pasos, las herramientas y los artefactos utilizados durante el descubrimiento que nos permitan reproducir la vulnerabilidad.

Para garantizar un informe preciso de sus observaciones, utilice el canal aprobado para informar de cualquier vulnerabilidad descubierta enviando un correo electrónico a security@team.amocrm.com