Política de divulgación de vulnerabilidades

Trabajamos con la comunidad investigadora para mejorar nuestra seguridad en línea

 

TopCashback aprecia enormemente el trabajo de investigación en materia de vulnerabilidad de la seguridad llevado a cabo por investigadores en el ámbito de la seguridad que se rigen por principios éticos y de buena voluntad. En colaboración con expertos en seguridad, estamos comprometidos a investigar detenidamente y resolver cualquier problema de seguridad que pueda detectarse en nuestra plataforma y servicios. El presente documento pretende definir un método mediante el cual TopCashback pueda trabajar con la comunidad investigadora en materia de seguridad, al objeto de mejorar nuestra seguridad en línea.

Ámbito de aplicación

Toda vulnerabilidad detectada en los productos y servicios de TopCashback estará recogida en el ámbito de aplicación del programa Bug Bounty (programa de recompensa por detección de vulnerabilidades), siempre y cuando:

  • Esta no se haya notificado previamente, o no haya sido identificada durante nuestros propios procedimientos internos;
  • Se pueda demostrar que la explotación de esta vulnerabilidad por parte de un sujeto malintencionado tendría un impacto real en TopCashback, su personal o sus miembros. La presencia de una vulnerabilidad no implica necesariamente que esta vaya a producir un impacto —los impactos hipotéticos no estarán amparados por el ámbito de aplicación del programa;
  • Exista en un dominio que tenga un archivo security.txt en su carperta .well-known. Los subdominios se incluirán en el ámbito de aplicación, siempre que el dominio principal esté a su vez recogido en este (a saber, la presencia de: https:///.well-known/security.txt significa que subdomain.topcashback.es and www.topcashback.es también estará amparado por el ámbito de aplicación).

Los siguientes problemas de seguridad normalmente no se incluyen en el ámbito de aplicación (por favor, no informe de estos problemas):

  • Vulnerabilidades de Ataque Volumétrico/Denegación de Servicio (a saber, cuando se sobrecarga nuestro servicio con un alto volumen de solicitudes);
  • Debilidades en la configuración TLS [e.j.: una suite de cifrado (CipherSuite) «débil», TLS1.0 support, sweet32, etc.);
  • Notificaciones que indiquen que nuestros servicios no están plenamente alineados con las «mejores prácticas» (e.j.: falta de cabeceras de seguridad o configuraciones relacionadas con el correo electrónico que distan de ser óptimas, tales como SPF, DMARC, etc.);
  • Problemas relacionados con la autentificación de las direcciones de correo electrónico usadas para crear cuentas de usuario;
  • Vulnerabilidades de clickjacking;
  • Self XSS (a saber, cuando un usuario ejecuta por engaño un código en su propio navegador web);
  • Un CSRF cuyo impacto fuese mínimo;
  • Un ataque CRLF cuyo impacto fuese mínimo;
  • Una Inyección de encabezado HTTP cuyo impacto fuese mínimo;
  • Técnicas de enumeración de datos de red (e.j.: banner grabbing);
  • Informes que detecten una gestión de sesiones inadecuada / vulnerabilidad de fijación de sesión.

Bug Bounty

Lamentablemente, TopCashback no ofrece en estos momentos un programa de recompensa monetaria por detección de vulnerabilidades (Bug Bounty) No obstante, nos gustaría demostrar nuestro agradecimiento a los investigadores en el ámbito de la seguridad que dedican su tiempo y esfuerzos a investigar e informarnos acerca de vulnerabilidades de seguridad en virtud de esta política. Así pues, aquellos que nos notifiquen una vulnerabilidad incluida en el ámbito de aplicación del programa recibirán una recompensa por parte de Topcashback.

Notificar una vulnerabilidad

Si ha detectado un problema que podría considerarse una vulnerabilidad de seguridad, recogida en el ámbito de aplicación (ver la sección 2 para acceder a más información acerca del ámbito de aplicación), mándenos un correo electrónico a protect@topcashback.co.uk, incluyendo:

  • El sitio web o la página en la que haya detectado la vulnerabilidad.
  • Una breve descripción del tipo de vulnerabilidad (e.j.: «vulnerabilidad XSS»). Por favor, evite incluir en este paso información que pueda favorecer la reproducción del problema. Le pediremos información adicional más adelante.

De acuerdo con las convenciones del sector, y siempre y cuando sea posible, solicitamos a los informantes que proporcionen pruebas benignas (a saber, no destructivas) que demuestren la vulnerabilidad de seguridad. Esto nos ayuda a garantizar una clasificación rápida y adecuada de la notificación, reduciendo al mismo tiempo la posibilidad de recibir notificaciones duplicadas y/o la explotación malintencionada de determinados tipos de vulnerabilidades (e.j.: la toma de control de un subdominio). Por favor, si la vulnerabilidad todavía es explotable, le pedimos que no envíe su prueba de explotación en el primer correo electrónico en texto plano. Asimismo, asegúrese de que todas las pruebas de las explotaciones siguen nuestras indicaciones (ver abajo). Si tiene cualquier duda, envíe un correo electrónico a protect@topcashback.co.uk

Le rogamos que lea el presente documento en su totalidad antes de notificar cualquier vulnerabilidad con el fin de asegurarse que comprende la política y pueda actuar conforme a esta.

Qué esperar por nuestra parte

Como respuesta a su correo electrónico inicial enviado a protect@topcashback.co.uk, recibirá un acuse de recibo por correo electrónico por parte del Departamento de Seguridad de TopCashback en un plazo aproximado de 72 horas desde la recepción de su notificación. El acuse de recibo incluirá un número de referencia de solicitud al que podrá hacer referencia en posteriores comunicaciones con nuestro Departamento de Seguridad. Asimismo, en el correo electrónico adjuntaremos una clave PGP que podrá usar para encriptar futuras comunicaciones que contengan información confidencial.

Tras un primer contacto, nuestro Departamento de Seguridad clasificará la vulnerabilidad notificada y le responderá lo antes posible para confirmar si es necesario enviar información adicional y/o si la vulnerabilidad está recogida en el ámbito de aplicación descrito anteriormente, o si se trata de una notificación duplicada. A partir de este momento, los trabajos de reparación que sean necesarios se asignarán a los correspondientes departamentos y/o proveedores de TopCashback. La prioridad para las resoluciones de errores y/o mitigaciones se asignará en función de la gravedad del impacto y la complejidad de la explotación. En ocasiones, las notificaciones de vulnerabilidad pueden tardar un tiempo en clasificarse y/o resolverse. Puede consultar en qué estado se encuentra el proceso, pero, por favor, limite su consulta a no más de una vez cada 14 días; esto permitirá que nuestro Departamento de Seguridad pueda centrarse en gestionar las notificaciones.

Nuestro Departamento de Seguridad le avisará cuando la vulnerabilidad identificada se haya resuelto (o se haya puesto en marcha un plan para solucionarla), y le pedirá que confirme que la solución propuesta solventa adecuadamente la vulnerabilidad. Le ofreceremos la oportunidad de proporcionarnos comentarios sobre el proceso, así como sobre la resolución de la vulnerabilidad. El uso de esta información será estrictamente confidencial y tendrá por objeto ayudarnos a mejorar la forma en que manejamos las notificaciones y/o desarrollamos servicios y resolvemos vulnerabilidades. Asimismo, ofreceremos a aquellos que nos han informado de las vulnerabilidades consideradas aptas ser incluidos en nuestra página de agradecimientos, y les preguntaremos qué datos desean que figuren en esta.

Indicaciones

Los investigadores de seguridad no pueden:

  • Acceder a cantidades innecesarias de datos. Por ejemplo, dos o tres registros son suficientes para demostrar la mayoría de las vulnerabilidades (por ejemplo, un ataque de enumeración o una vulnerabilidad IDOR);
  • Vulnerar la privacidad de los usuarios, trabajadores, contratistas o sistemas de TopCashback, entre otros; por ejemplo, compartiendo y redistribuyendo y/o vulnerando la protección de los datos recabados de nuestros sistemas o servicios;
  • Comunicar cualquier vulnerabilidad o datos relativos a esta a través de métodos no previstos en la presente política, o con agentes que no formen parte del equipo de seguridad de TopCashback;
  • Modificar datos en nuestros sistemas/servicios que no sean suyos;
  • Causar alteraciones en nuestro(s) servicio(s) y/o sistemas; o
  • Divulgar vulnerabilidades en los sistemas/servicios de TopCashback a terceros, o hacerlas públicas, sin que antes TopCashback haya confirmado que dichas vulnerabilidades ya han sido mitigadas o rectificadas. Esto no impide que se notifique la vulnerabilidad a terceros, si esta les afecta directamente; por ejemplo, cuando la vulnerabilidad detectada se encuentra en una biblioteca o framework de software. No se hará referencia a los datos relativos a la vulnerabilidad específica de TopCashback en dichas notificaciones. Si no está seguro de en qué situación se encuentra el tercero al que desea notificar, contáctenos a través de protect@topcashback.co.uk para aclarar la cuestión.

Solicitamos que cualquier dato recabado durante la investigación se elimine de manera segura, tan pronto como ya no sea necesario, y en un plazo máximo de un (1) mes desde la resolución de la vulnerabilidad; lo que ocurra primero. Asimismo, solicitamos que se nos confirme la eliminación de los datos, enviando un correo electrónico a protect@topcashback.co.uk.

Si en algún momento no está seguro de si las medidas que piensa adoptar son correctas, póngase en contacto con nuestro Departamento de Seguridad para que podamos asesorarle (le pedimos por favor que no incluya información confidencial en el primer correo): protect@topcashback.co.uk.

Aspectos jurídicos

La presente política está diseñada para ser compatible con las buenas prácticas comunes entre investigadores en el ámbito de la seguridad que se rigen por el principio de buena voluntad. Asimismo, esta no le autoriza a actuar de manera incongruente con la ley o hacer que TopCashback incumpla sus obligaciones legales, incluyendo entre otros:

  • La ley sobre el uso indebido de la informática de 1990 [The Computer Misuse Act (1990)]
  • El Reglamento 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la Ley de Protección de Datos del 2018 [The General Data Protection Regulation 2016/679 (GDPR) and the Data Protection Act 2018]
  • La Ley de Propiedad Intelectual, Diseños y Patentes de 1988 [The Copyright, Designs and Patents Act (1988)]

El Grupo TopCashback no perseguirá a los investigadores de seguridad que notifiquen, de buena fe y en cumplimiento de lo dispuesto en la presente política, cualquier vulnerabilidad en materia de seguridad o servicio recogidos en el ámbito de aplicación de TopCashback.

Comentarios

Si quiere enviarnos comentarios o sugerencias en relación con esta política, póngase en contacto con nuestro Departamento de Seguridad: protect@topcashback.co.uk. Esta política evolucionará con el tiempo y tendremos en cuenta sus aportaciones, al objeto de garantizar que esta sea clara, completa y siga siendo relevante.