Reportar un Problema de Seguridad
Si descubres un problema de seguridad o vulnerabilidad en un producto o servicio de Acquia, te pedimos que nos lo reportes de manera confidencial.
Divulgación Responsable
En Acquia nos tomamos muy en serio la seguridad de nuestros productos. Capacitamos a nuestro personal en las mejores prácticas de seguridad y nuestro proceso de desarrollo incluye pasos de aseguramiento de calidad para garantizar que nuestros productos sean de alta calidad y seguros. Sin embargo, como ocurre con todos los productos de software complejos, es posible que exista una vulnerabilidad de seguridad en alguno de nuestros productos.
Por favor, envíe los detalles por correo electrónico a nuestro equipo de seguridad a [email protected]. Apreciamos la divulgación responsable y reconoceremos a los investigadores de seguridad cuando se haya reportado un problema, siguiendo los siguientes parámetros.
Acquia actualmente no cuenta con un programa de recompensas por errores, sin embargo, nos complace acreditar a los investigadores con su nombre y un enlace a una dirección de su elección (por ejemplo, Twitter o sitio web personal) en nuestro Salón de la Fama que aparece a continuación.
Parámetros y Exclusiones
Parámetros
- No acceder, destruir o impactar negativamente los datos de Acquia o sus clientes de ninguna manera.
- No utilizar escáneres automatizados. (El uso de escáneres automatizados puede resultar en acciones de investigación y el bloqueo de su dirección IP.)
- Realizar un esfuerzo de buena fe para evitar violaciones de privacidad e interrupciones o degradación de los servicios de Acquia durante su investigación. (ej. Denegación de Servicio)
- No realizar ningún tipo de ataque físico o electrónico contra el personal, oficinas o centros de datos de Acquia.
- Permitir a Acquia tiempo razonable para investigar su reporte y llevar a cabo cualquier remediación necesaria.
- No violar ninguna ley ni incumplir acuerdos previos.
Exclusiones
- Banners de software del servidor mostrados u otra información de versión.
- Mensajes de error descriptivos.
- Encabezados de seguridad HTTP faltantes. (ej. X-Frame-Options)
- Registros SPF faltantes o incorrectos.
- CSRF en formularios que están disponibles para usuarios anónimos
- Enumeración de nombres de usuario / correo electrónico
- Divulgación de archivos públicos conocidos. (ej. robots.txt)
Acquia no iniciará acciones legales contra los investigadores, siempre y cuando se adhieran a estos parámetros. Acquia se reserva el derecho de acreditar únicamente a investigadores que hayan reportado un problema que esté comprobado y sea de suficiente severidad.
Detalles de la Presentación
Por favor proporcione la mayor cantidad de detalles relevantes posible, tales como:
- Cómo puede explotarse la vulnerabilidad y el impacto potencial.
- Cómo descubrió la vulnerabilidad y pasos claros para reproducirla.
- Cualquier prueba de concepto de ataque y/o imágenes que muestren el vector de ataque.
- Cualquier parche conocido o controles para mitigar la vulnerabilidad.
Salón de la Fama de Seguridad
Un agradecimiento especial a las siguientes personas que han divulgado vulnerabilidades de manera responsable a Acquia en el pasado:
- Harshal Bafna - LinkedIn
- Bharat Adhikari | LinkedIn
- Mohit Kumar - LinkedIn
- Corrie Sloot - LinkedIn
- Ramlal - LinkedIn
- Smriti Chandravanshi - LinkedIn
- S M Tarikul Alam - LinkedIn
- Guillermo Gregorio - LinkedIn
- Gaurang maheta - LinkedIn
- Raghav Khandelwal | LinkedIn
- Tim Koopmans | Twitter
- Mansoor Rangwala | LinkedIn
- Ravi Pavan | LinkedIn
- Rachit Verma | LinkedIn
- Chris Davis | Twitter
- Vincenzo De Naro Papa | Twitter
- Marek Jílek | www.mjilek.cz
- Anshuman Pattnaik | Twitter, hackbotone.com
- Jubin Sharma | Twitter
- Sarvagya Sonkar | LinkedIn
- Naveen kumawat(nvk) | Twitter
- Ausaf Liaquat
- Amjad Kabaha - Facebook
- Prakash Kumar - LinkedIn
- Vishal Panchani (gujjuboy10x00) - Twitter
- Ronak Nahar (naharronak) - LinkedIn
- Chirag Gupta (chiraggupta8769) - LinkedIn
- Shoeb "CaptainFreak" Patel - Twitter
- Gokul Babu (gokul-babu-452b3b112) - LinkedIn
- Suhas Gaikwad (iamsuhasgaikwad) - Twitter
- S.Vijay (cracbaby) - Twintech Solutions - Facebook
- Fabio Pires (fabiopirespt) - Twitter
- Francesco Mifsud (gradiusx) - Twitter
- Cody Zacharias
- Kamil Sevi (kamilsevi) - Twitter
- Emanuel Bronshtein (e3amn2l) - Twitter
- M.R.Vignesh Kumar (vigneshkumarmr) - Twitter
- Prajal Kulkarni
- Himanshu Kumar Das (mehimansu) - Twitter
- Ajay Singh Negi
- Atulkumar Hariba Shedage
- Chiragh Dewan (ChiraghDewan) - Twitter
- Rafay Baloch (rafayhackingarticles.net)
- SimranJeet Singh
- Adam Ziaja (adamziaja.com)
- Piyush Malik (ThePiyushMalik) - Twitter
- Harsha Vardhan
- Wan Ikram (rinakikun) - Twitter
- Krutarth Shukla
- Narendra Bhati (narendradewsoft)- Facebook
- Ahmad Ashraff (yappare) - Twitter
- Tejash Patel & Parveen Yadav
- Joeri Poesen
- Vedachala (vedachalaka) - Twitter
- Sebastian Neef & Tim Schäfers
- internetwache - Twitter
- Vinesh Redkar (AVsecurity.in)
- Samandeep Singh
- Dhaval Chauhan (17haval) - Twitter
- Nitesh Shilpkar
- Umraz Ahmed (umrazahmed) - Twitter
- Ehraz Ahmed (securityexe) - Twitter
- Jigar Thakkar (Infobit Technologies)
- Tushar. R. Kumbhare (Defencely)
- Siddhesh Gawde
- Frans Rosén (www.detectify.com)
- Chirag Paghadal
- Yuji Kosuga (yujikosuga) - Twitter
- Rafael Pablos (silverneox.blogspot.com)
- Reegun Richard Jayapaul (reegun) - LinkedIn
- Nitin Goplani (nitingoplani) - LinkedIn
- Yogesh Modi
- Ali Hassan Ghori
- Turzo Ahmed
- Ashesh Kumar
- Muhammed Gamal Fahmy - Facebook
- Mandeep Singh Jadon
- Kiran Karnad
- Akshay Pandurangi - Facebook
- Somesh Yadav
- Naveen Ramesh
- Omar HAMMOU (https://hackerone.com/xramos)