Divulgación responsable
Our customers trust us to keep their data secure and confidential. We take security seriously and work constantly to ensure that trust is well-founded. ¿Tiene algo que informar? Póngase en contacto con nosotros en security@teamretro.com
Responsible disclosure
Animamos a todas las personas que practiquen la divulgación responsable y cumplan con nuestras políticas y términos de servicio a participar en nuestro programa de divulgación de vulnerabilidades. Please avoid automated testing and only perform security testing with your own data. Please do not disclose any information regarding the vulnerabilities until we fix them. Podemos, a nuestra entera discreción, ofrecer un reconocimiento por los informes de alta calidad e impacto que demuestren un riesgo de seguridad real.
Puede informar sobre vulnerabilidades poniéndose en contacto con security@teamretro.com. Por favor, incluya una prueba de concepto. Responderemos lo antes posible a su envío y no tomaremos acciones legales si sigue las reglas.
Cobertura:
- secure.teamretro.com
Exclusiones:
- *.eu.teamretro.com
- ww1.teamretro.com
- ww2.teamretro.com
- ww3.teamretro.com
- www.teamretro.com
- at.teamretro.com
- help.teamretro.com
- feedback.teamretro.com
- mail.teamretro.com
- status.teamretro.com
- track.teamretro.com
- games.teamretro.com
- icebreaker.teamretro.com
- ideas.teamretro.com
- planning-poker.teamretro.com
- www-assets.teamretro.com
Las vulnerabilidades aceptadas son las siguientes:
- Cross-Site Scripting (XSS)
- Redirección abierta
- Falsificación de petición en sitios cruzados (CSRF)
- Inclusión de comandos/archivos/URL
- Problemas de autenticación
- Ejecución de código
- Inyecciones de código o de base de datos
Este programa de divulgación de vulnerabilidades NO incluye:
- Enumeración de cuentas/correos electrónicos
- Denegación de servicio (DoS)
- Ataques que puedan perjudicar la fiabilidad o integridad de nuestro negocio
- Ataques de spam
- Clickjacking en páginas sin autenticación o sin cambios de estado sensibles
- Advertencias de contenido mixto
- Falta de DNSSEC
- Suplantación de contenido / inyección de texto
- Ataques de temporización
- Ingeniería social
- Phishing
- Cookies no seguras para cookies no sensibles o cookies de terceros
- Vulnerabilidades que requieren una interacción del usuario extremadamente improbable
- Exploits que requieren acceso físico a la máquina de un usuario
- Ausencia de encabezados de seguridad que no conduzcan directamente a una vulnerabilidad
- Ausencia de mejores prácticas (requerimos evidencia de una vulnerabilidad de seguridad)
- Informes generados por escáneres automáticos sin un impacto demostrado
- Ausencia de encabezados de seguridad sin un exploit demostrado
- Problemas de configuración de SSL/TLS sin un exploit demostrado
- Ausencia de limitación de tasa (rate limiting)
- Self-XSS (requiere que la víctima pegue código en su propia consola)
- CSRF de inicio/cierre de sesión
- Vulnerabilidades que requieren navegadores desactualizados o no compatibles
- Informes duplicados o problemas ya conocidos
Requisitos de envío
Todos los informes deben incluir lo siguiente o no serán revisados:
- URL o punto de conexión (endpoint) afectado
- Instrucciones de reproducción paso a paso
- Prueba de concepto (capturas de pantalla, vídeo o código)
- Descripción del impacto en la seguridad
No se permite el escaneo automatizado sin aprobación previa por escrito. Todas las pruebas deben realizarse manualmente y todos los detalles del programa de divulgación de vulnerabilidades deben mantenerse confidenciales.
Nuestro agradecimiento a los siguientes investigadores de seguridad:
- Abin Joseph
- daniel_v
- Ananda Dhakal
- Luiz Viana
- Aman Gupta
- Vipul Sahu
- Hsu Myat Noe
- Tomasz Bartoszewski
- Harry Gertos
- Sathwik Veeramaneni
- Yassine Nafiai
- SIDN SOC
- Burhan Chhotaudepur
- Faizan Nehal
- Aaditya Kumar Sharma
- Syed Ahsan Raza
- Mohammed Eldawody
- Yaniv Shoshani
- Lucas Werkmeister
- Ankit Rathva