Divulgación responsable

Mantenga la seguridad y la transparencia con una divulgación responsable en TeamRetro. Conozca nuestra política para informar sobre vulnerabilidades y garantizar la protección de datos.

Seguridad SSL

Divulgación responsable

Nuestros clientes confían en nosotros para mantener la seguridad y la confidencialidad de sus datos. Nos tomamos muy en serio la seguridad y trabajamos constantemente para garantizar que esa confianza esté bien fundada. ¿Desea comunicarnos algo? Póngase en contacto con nosotros en security@TeamRetro.com

Divulgación responsable

Animamos a todas aquellas personas que practiquen la divulgación responsable y cumplan con nuestras políticas y condiciones de servicio a participar en nuestro programa de divulgación de vulnerabilidades. Le rogamos que evite las pruebas automatizadas y que realice pruebas de seguridad únicamente con sus propios datos. Le rogamos que no divulgue ninguna información relativa a las vulnerabilidades hasta que las hayamos solucionado. Podemos, a nuestra entera discreción, ofrecer un reconocimiento por los informes de alta calidad y gran impacto que demuestren un riesgo de seguridad real.

Puede informar de vulnerabilidades poniéndose en contacto con security@teamretro.com. Le rogamos que incluya una prueba de concepto. Responderemos lo antes posible a su notificación y no emprenderemos acciones legales si cumple las normas.

Cobertura:

  • secure.teamretro.com

Exclusiones:

  • *.eu.TeamRetro.com
  • ww1.TeamRetro.com
  • ww2.TeamRetro.com
  • ww3.TeamRetro.com
  • www.teamretro.com
  • en.TeamRetro.com
  • help.teamretro.com
  • feedback.teamretro.com
  • mail.TeamRetro.com
  • status.TeamRetro.com
  • track.TeamRetro.com
  • games.teamretro.com
  • icebreaker.teamretro.com
  • ideas.teamretro.com
  • planning-poker.teamretro.com
  • www-assets.TeamRetro.com

Las vulnerabilidades aceptadas son las siguientes:

  • Scripting entre sitios (XSS)
  • Redirección abierta
  • Falsificación de solicitudes entre sitios (CSRF)
  • Inclusión de comandos, archivos o URL
  • Problemas de autenticación
  • Ejecución de código
  • Inyecciones de código o de bases de datos

Este programa de divulgación de vulnerabilidades NO incluye:

  • Enumeración de cuentas y direcciones de correo electrónico
  • Ataque de denegación de servicio (DoS)
  • Ataques que podrían poner en peligro la fiabilidad o la integridad de nuestra empresa
  • Ataques de spam
  • Clickjacking en páginas sin autenticación y/o cambios de estado sensibles
  • Advertencias sobre contenido mixto
  • Ausencia de DNSSEC
  • Falsificación de contenido / Inyección de texto
  • Ataques de sincronización
  • Ingeniería social
  • Suplantación de identidad
  • Cookies no seguras para cookies no confidenciales o cookies de terceros
  • Vulnerabilidades que requieren una interacción del usuario extremadamente improbable
  • Vulnerabilidades que requieren acceso físico al equipo de un usuario
  • Falta de encabezados de seguridad que no dan lugar directamente a una vulnerabilidad
  • Falta de buenas prácticas (necesitamos pruebas de una vulnerabilidad de seguridad)
  • Informes generados por escáneres automatizados sin que se haya demostrado su impacto
  • Faltan encabezados de seguridad sin que se haya demostrado la existencia de un exploit
  • Problemas de configuración de SSL/TLS sin que se haya demostrado la existencia de un exploit
  • Falta la restricción de velocidad
  • Auto-XSS (requiere que la víctima pegue el código en su propia consola)
  • Inicio/cierre de sesión CSRF
  • Vulnerabilidades que requieren navegadores obsoletos o sin soporte técnico
  • Informes duplicados o problemas ya conocidos

Requisitos de presentación

Todos los informes deben incluir lo siguiente; de lo contrario, no serán evaluados:

  • URL o punto final afectado
  • Instrucciones paso a paso para la reproducción
  • Demostración de viabilidad (capturas de pantalla, vídeo o código)
  • Descripción del impacto en la seguridad

No se permite el escaneo automatizado sin autorización previa por escrito. Todas las pruebas deben realizarse manualmente y todos los detalles del programa de divulgación de vulnerabilidades deben mantenerse confidenciales.

Queremos expresar nuestro agradecimiento a los siguientes investigadores de seguridad:

  • Abin Joseph
  • daniel_v
  • Ananda Dhakal
  • Luiz Viana
  • Aman Gupta
  • Vipul Sahu
  • Hsu Myat Noe
  • Tomasz Bartoszewski
  • Harry Gertos
  • Sathwik Veeramaneni
  • Yassine Nafiai
  • SIDN SOC
  • Burhan Chhotaudepur
  • Faizan Nehal
  • Aaditya Kumar Sharma
  • Syed Ahsan Raza
  • Mohammed Eldawody
  • Yaniv Shoshani
  • Lucas Werkmeister
  • Ankit Rathva