Política de divulgación de vulnerabilidades de responsabilidad pública
Descripción
Moneytrans es una empresa fintech comprometida con la promoción de la diversidad y la inclusión financiera. Entendemos la importancia de mantener altos estándares de seguridad informática y agradecemos el apoyo de los investigadores de seguridad y de los miembros de las comunidades de ciberseguridad para lograr este objetivo. Si descubre una vulnerabilidad de seguridad informática en cualquiera de nuestras aplicaciones, le rogamos que nos informe lo antes posible antes de hacer público el problema. Esto se denomina divulgación responsable, y nos permite tomar las medidas necesarias para solucionar el problema. En este documento, los investigadores encontrarán toda la información necesaria para llevar a cabo estas actividades de manera que puedan beneficiarse mutuamente de forma segura.
Directrices
Tenga en cuenta las directrices generales de esta política.
Notifíquenos inmediatamente después de descubrir un problema de seguridad real o potencial.
Haga todo lo posible para evitar violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción o manipulación de datos.
Utilice los exploits sólo en la medida necesaria para confirmar la presencia de una vulnerabilidad.
Concédanos un tiempo razonable para resolver el problema antes de divulgarlo públicamente.
No comprometa intencionadamente la privacidad o seguridad del personal de Moneytrans o de terceros.
Usted no compromete intencionadamente la propiedad intelectual u otros intereses comerciales o financieros de cualquier personal de Moneytrans, entidades o terceros.
Tras confirmar la presencia de una vulnerabilidad o toparse con datos sensibles (como información de identificación personal, detalles financieros o información de propiedad, incluidos secretos comerciales pertenecientes a cualquier entidad), debe detener sus pruebas, notificárnoslo de inmediato y abstenerse de compartir estos datos con otras personas o partes.
Qué queda incluido en el ámbito
Estamos realizando esfuerzos continuos y significativos para abordar los problemas que conocemos y evitar que aparezcan otros nuevos. Sin embargo, el entorno de las TIC evoluciona constantemente, al igual que las vulnerabilidades de la ciberseguridad.
Aunque nos centramos principalmente en la seguridad de la información y de las API, salvaguardar los datos de nuestros clientes es primordial. Por lo tanto, estamos especialmente interesados en recibir propuestas relacionadas con lo siguiente:
- Cualquier acceso no autorizado.
- Fuga de datos.
- Poder acceder a cualquier información personal y/o de contacto de clientes que no pertenezcan al usuario que ha iniciado la sesión.
- Acceda al número de cuenta bancaria de los saldos que no pertenezcan al usuario registrado.
- En general, la capacidad de acceder a datos que no pertenecen al usuario que ha iniciado la sesión.
- Intentos de apropiación de cuentas.
- Cuestiones sobre la gestión de sesiones.
Clasificación de la vulnerabilidad
La evaluación definitiva de la gravedad de una vulnerabilidad sólo puede determinarse tras una evaluación exhaustiva por parte de los responsables y analistas de seguridad.
Moneytrans emplea el estándar industrial CVSS v3 como medida fundamental para determinar la gravedad del problema. Independientemente de la puntuación numérica, deben tenerse en cuenta los factores potenciales que aumentan o mitigan el riesgo a la luz de los detalles contextuales proporcionados.
Puede consultar más detalles sobre la metodología de puntuación aquí:
Las presentaciones de vulnerabilidades que pueden dar lugar a pérdidas potenciales de ingresos son inherentemente contextuales, en particular en los casos en que los atacantes no obtienen beneficios económicos directos (por ejemplo, eludir una barrera de pago). Del mismo modo, las vulnerabilidades dentro de componentes empresariales muy sensibles o expuestos podrían acarrear consecuencias indirectas, como daños a la reputación. Moneytrans podría optar por reclasificar una vulnerabilidad cuando entren en juego factores contextuales de nuestro negocio que disminuyan o intensifiquen el riesgo.
Siempre que se invoque un modificador de impacto empresarial, se comunicará de forma transparente al investigador. Este modificador sólo puede reducir la puntuación de gravedad calculada por la calculadora CVSSv3 en un máximo de una categoría. Aún así, tiene el potencial de elevar la puntuación a cualquier categoría.
Índices de vulnerabilidad
Índice de gravedad
Puntuación CVSS v3
Ninguno
0.0
Bajo
0.1 - 3.9
Medio
4.0 - 6.9
Alta
7.0 - 8.9
Crítica
9.0 - 9.4
Excepcional
9.5 - 10.0
Tipo de fallo
Gravedad (base)
Inyección de HTML reflejado
Bajo
Inyección de HTML en correos electrónicos
Bajo
Página PHP info/debug
Bajo
Anulación de la verificación del correo electrónico
Bajo
Redirección abierta sin impacto adicional
Bajo
Secuestro de enlaces rotos (enlaces de alto tráfico)
Bajo
Excepciones
Es posible que algunas vulnerabilidades sólo afecten ligeramente a las métricas CVSS v3 individuales indicadas anteriormente de forma que no justifiquen una actualización de la gravedad. Hemos esbozado estos casos extremos a continuación para que sepa qué evaluación de gravedad debe esperar:
Acuerdo de nivel de servicio
Validaremos todos los envíos dentro de los siguientes plazos (una vez que el equipo de seguridad informática de Moneytrans haya verificado su envío)
*Días laborables: De lunes a viernes, de 9 a 17 horas (CET).
Gravedad
Máx. Retardo
Excepcional
Tres días laborables
Crítica
Cinco días laborables
Alta
Diez días laborables
Medio
14 días laborables
Bajo
14 días laborables
Dominios / aplicaciones
Los siguientes dominios y aplicaciones móviles se consideran en el ámbito de este programa.
Normas (alcance)
Los dominios que no figuren explícitamente en la sección "Dominios / aplicaciones" de este programa se consideran fuera del ámbito de este programa de recompensas por fallos.
Los participantes tienen estrictamente prohibido realizar escaneos automatizados o intentos de fuerza bruta. Esto incluye el envío de múltiples solicitudes automatizadas intentando diferentes combinaciones o caracteres en un único punto final. Además, los participantes tienen prohibido realizar más de diez solicitudes por segundo.
Todos los investigadores deben configurar su utillaje (si procede) observando la siguiente configuración:
Parámetro | Valor |
Límite de la tasa de solicitud | Máx. 5 solicitudes / segundo |
Usuario Agente de usuario (user agent string) | MT-VlnDisclosure |
Cabecera de la solicitud (http header) | X-MT-VlnDisclosure |
- Toma de posesión de cuentas preauth / okupación de oauth.
- Self-XSS que no puede utilizarse para explotar a otros usuarios.
- Mensajes/archivos/listados de directorios verbosos sin revelar ninguna información sensible.
- Mala configuración de CORS en puntos finales no sensibles.
- Faltan banderas de cookies.
- Faltan cabeceras de seguridad.
- Falsificación de petición en sitios cruzados con impacto nulo o bajo.
- Presencia del atributo autocompletar en los formularios web.
- Tabnabbing inverso.
- Eludir los límites tarifarios o la inexistencia de límites tarifarios.
- Violación de las buenas prácticas (complejidad de las contraseñas, caducidad, reutilización, etc.).
- Clickjacking (todos los casos).
- Inyección CSV.
- Inyección de encabezado de host.
- Sesiones que no se invalidan (por ejemplo, cierre de sesión, activación de 2FA, incluido el reestablecimiento de contraseña...).
- Inyección/toma de hipervínculos.
- Problemas de tipo de contenido mixto.
- Filtración de referencias entre dominios.
- Todo lo relacionado con la suplantación de identidad del correo electrónico, SPF, DMARC o DKIM.
- Inyección de contenido.
- Enumeración de nombre de usuario / correo electrónico.
- Bombardeo por correo electrónico.
- Contrabando de peticiones HTTP sin impacto probado.
- Ataques homógrafos.
- XMLRPC habilitado.
- Acaparamiento de banners / Divulgación de versiones.
- Abrir puertos sin una prueba de concepto que demuestre la vulnerabilidad.
- Configuraciones SSL débiles e informes de análisis SSL/TLS.
- No eliminar los metadatos de las imágenes.
- Divulgación de claves API sin impacto probado.
- Secuencias de comandos en el mismo sitio.
- Toma de control del subdominio sin tomar el control del subdominio.
- Carga arbitraria de archivos sin prueba de la existencia del archivo cargado.
Móvil
- Enlaces compartidos que se han filtrado a través del portapapeles del sistema
- URI que se filtran porque una aplicación maliciosa ha obtenido permiso para ver las URI abiertas
- Ausencia de prendido de certificados
- Datos sensibles presentes en las URL o en los cuerpos de las solicitudes incluso cuando están protegidos por TLS
- Falta de ofuscación
- Divulgación de la ruta en el binario
- Falta de detección de jailbreak y root
- Caídas debidas a esquemas de URL malformados
- Falta de controles de protección binaria (antidepuración) y de fijación SSL móvil
- Fuga de instantáneas/pegatinas
- Runtime hacking exploits (exploits que sólo son posibles en un entorno con jailbreak)
- Fuga de claves API que se utilizan para actividades o acciones insensibles
- Actividades excluidas: Este programa no aceptará informes relacionados con ataques que requieran acceso físico al dispositivo de la víctima.
General
- Si Moneytrans ya ha identificado una vulnerabilidad comunicada por un participante a través de sus pruebas, se considerará un informe duplicado.
- La gravedad de los problemas de seguridad teóricos sin escenarios de explotación realistas, superficies de ataque o problemas que requieran interacciones complejas del usuario final para ser explotados puede reducirse o excluirse.
- Las vulnerabilidades múltiples causadas por un problema subyacente recibirán una recompensa.
- Actividades excluidas / no aceptadas:
- No se aceptarán informes relacionados con spam, ingeniería social, intrusión física, ataques DoS/DDoS o ataques de fuerza bruta.
- Las vulnerabilidades que afecten a navegadores no actuales (de más de tres versiones) no podrán optar a una recompensa.
- No se aceptarán ataques que requieran acceso físico al ordenador o dispositivo de la víctima, ataques man-in-the-middle o cuentas de usuario comprometidas.
- Los informes de vulnerabilidades de día cero descubiertas en los 14 días posteriores a la publicación de un parche o mitigación pueden ser aceptados, pero normalmente no son elegibles para una recompensa.
- No se aceptarán informes que indiquen que el software está anticuado o es vulnerable sin aportar pruebas de concepto.
Cómo enviar vulnerabilidades
Envíe los envíos de vulnerabilidades a [email protected] Por favor, construya la Prueba de Concepto utilizando la siguiente plantilla:
## Activo [añadir la superficie de ataque de este problema]
## Debilidad
[añada el tipo de problema potencial que ha descubierto].
## Resumen:
[añada un resumen de la vulnerabilidad]
## Pasos Para Reproducirlo:
[añada detalles para saber cómo podemos reproducir el problema].
[añadir paso]
[añadir paso]
[añadir paso]
## Material de apoyo/Referencias:
[enumere cualquier material adicional (por ejemplo, capturas de pantalla, registros, etc.)]
[anexo / referencia]
Puerto seguro / Safe Harbor
Al enviar sus descubrimientos a Moneytrans siguiendo estas normas, Moneytrans se compromete a abstenerse de emprender medidas legales contra usted. En caso de incumplimiento de estas normas, Moneytrans se reserva todos los derechos legales. En caso de que un tercero inicie acciones legales contra usted sobre acciones llevadas a cabo bajo este protocolo, nos esforzaremos por hacer público que sus esfuerzos se ejecutaron siguiendo esta política.
Le agradecemos su ayuda para mantener la seguridad de Moneytrans y de nuestra clientela.
Otras consideraciones
Moneytrans no ofrece recompensas por las vulnerabilidades descubiertas. Sin embargo, Moneytrans sí podría eventualmente:
- Hacer pública en forma de "Salón de la Fama" en nuestra página web corporativa pública la lista de los investigadores más relevantes.
- Proporcionar a los investigadores que lo soliciten una carta de reconocimiento de sus competencias técnicas, código de conducta y equidad, descubrimientos y pautas de resolución, y/o hallazgos siempre que las vulnerabilidades encontradas sean críticas o excepcionales. También se tendrán en cuenta cuestiones importantes cuando su solución aporte un valor añadido significativo a la ciberseguridad de la empresa.