Seguridad

Programa de Bug Bounty

BelHost da la bienvenida a la divulgación responsable de investigadores de seguridad. Revisamos todos los informes que califiquen y podemos ofrecer recompensas por vulnerabilidades válidas.

Reportar una Vulnerabilidad Leer las Directrices
En esta página
Canal de reporte
[email protected]

Descripción general

Consideramos la seguridad de nuestros sistemas como una prioridad máxima. Ningún sistema es perfecto, y siempre puede haber fallas en cualquier tecnología. Esperamos trabajar con investigadores de seguridad capacitados para proteger a nuestros clientes.

Si cree que ha identificado un problema de seguridad en nuestro producto o servicio, le animamos a notificárnoslo.

Directrices para la divulgación responsable

  • Infórmenos lo antes posible tras descubrir un posible problema de seguridad, y haremos todo lo posible por resolverlo rápidamente.
  • Proporciónenos un tiempo razonable para resolver el problema antes de cualquier divulgación pública o a un tercero.
  • Sin suplantación no autorizada: no se tolerará ningún intento de ingeniería social a otra parte mediante la suplantación de un empleado de BelHost, otro investigador o un equipo de seguridad.
  • Si cumple con todas las condiciones establecidas en estas directrices, no tomaremos ninguna acción legal en su contra con respecto a su reporte.
  • Su reporte se mantendrá confidencial. No compartiremos su información personal con terceros sin consentimiento previo, a menos que sea necesario para cumplir con una obligación legal.

Recompensas

Para mostrar nuestro agradecimiento, BelHost ofrece recompensas por reportes de vulnerabilidades de seguridad calificadas. Las recompensas pueden otorgarse como compensación económica o mercancía de BelHost. El monto de la recompensa queda a discreción de BelHost y se basa en la calificación de gravedad interna de la vulnerabilidad divulgada. La recompensa se comunicará después de la validación por parte de nuestros equipos internos.

Elegibilidad

Para calificar para una recompensa, debe:

  1. Ser el primero en reportar la vulnerabilidad.
  2. Seguir las directrices descritas en esta página.
  3. No divulgar públicamente la vulnerabilidad antes de nuestra resolución.
  4. Proporcionar una prueba de concepto funcional que explote el problema de seguridad.
  5. Usar únicamente cuentas creadas por usted mismo y no acceder a datos de otros usuarios.
  6. No ser habitante de ningún país incluido en la lista de Nacionales Especialmente Designados y Personas Bloqueadas (SDN).
  7. No ser habitante de ningún país incluido en la Lista Consolidada de personas, grupos y entidades sujetos a sanciones financieras de la UE.

Exclusiones absolutas

Las siguientes categorías están fuera del alcance y generalmente no recibirán respuesta.

Ataques sociales y físicos
  • Ingeniería social (incluyendo phishing)
  • Cualquier intento físico contra la propiedad o centros de datos de BelHost
  • Ataque físico a la infraestructura
Pruebas de disponibilidad y abuso
  • Denegación de servicio
  • Fuerza bruta
  • Reportes de herramientas y escaneos automatizados
  • Límites de velocidad faltantes
Problemas web de baja señal
  • CSRF
  • Self-XSS
  • Clickjacking y problemas solo explotables a través de clickjacking
  • Suplantación de contenido en páginas de error o inyección de texto
  • Ataques de homógrafos
  • Redirecciones abiertas
  • CAPTCHA débil / bypass de CAPTCHA
  • Problemas relacionados con caché
Hallazgos solo de configuración y encabezados
  • Relacionados con X-Frame-Options
  • Indicadores de cookie faltantes
  • Encabezados de seguridad faltantes que no llevan directamente a una vulnerabilidad
  • Falta de noreferrer, noopener
  • Problemas de DKIM/SPF/DMARC
  • Exposición de versión
  • Listado de directorios
  • Problemas de SSL
  • Método HTTP OPTIONS habilitado
  • Divulgación de IP del servidor
Casos límite de cuenta y autenticación
  • Tiempos de espera de sesión de autenticación (las sesiones están vinculadas a IP con un tiempo de espera de 1 hora)
  • Reutilización de código TOTP de 2FA
  • Enumeración de usuarios por fuerza bruta
  • Activación de 2FA sin confirmación por email
  • Verificación de contraseña en cambio de email o 2FA
  • Política de contraseñas
  • Cualquier ataque que requiera acceso al ordenador del usuario (físico o remoto)
Software de terceros y no relacionado
  • Errores en software de terceros
  • Vulnerabilidades de WordPress
  • Cualquier tipo de vulnerabilidades del navegador
  • Manipulación de parámetros para procesadores de pago
Debido a la gran cantidad de reportes inválidos, no habrá respuestas para reportes que contengan una vulnerabilidad incluida en nuestras exclusiones.

Cómo reportar

Por favor, envíe sus hallazgos iniciales a:

[email protected]