Contacto de Seguridad
Reporta vulnerabilidades de seguridad en nuestra infraestructura de manera responsable
Divulgacion Responsable
Como organizacion de investigacion de seguridad, tomamos muy en serio la seguridad de nuestra propia infraestructura. Si has descubierto una vulnerabilidad en los sistemas de ODINT, queremos saberlo. Nos comprometemos a trabajar con investigadores de seguridad que reporten vulnerabilidades de manera responsable.
Reportar una Vulnerabilidad
Para problemas relacionados con la seguridad de la infraestructura de ODINT:
[email protected]Por favor incluye "SECURITY" en el asunto
Alcance
Dentro del Alcance
- Sitio web odint.io y subdominios
- Nuestras aplicaciones web publicas
- Endpoints de API (cuando esten disponibles)
- Instancia de SecureDrop (cuando este operativa)
- Problemas de autenticacion y autorizacion
- Vulnerabilidades de exposicion de datos
Fuera del Alcance
- Ataques de ingenieria social contra nuestro equipo
- Ataques fisicos contra nuestra infraestructura
- Ataques de denegacion de servicio
- Servicios de terceros que utilizamos (reportalos directamente a ellos)
- Problemas que requieren acceso fisico
- Spam o phishing
Que Incluir
Al reportar una vulnerabilidad, por favor incluye:
- Descripcion de la vulnerabilidad y su impacto potencial
- Instrucciones paso a paso para reproducir el problema
- Prueba de concepto (capturas de pantalla, videos o codigo) si es posible
- Tu evaluacion de la severidad
- Cualquier sugerencia para la remediacion
- Tu informacion de contacto para seguimiento (puede ser anonimo)
Nuestro Compromiso
Cuando reportas una vulnerabilidad, nos comprometemos a:
- Confirmar la recepcion dentro de 48 horas
- Proporcionar una evaluacion inicial dentro de 7 dias
- Mantenerte informado de nuestro progreso
- Darte credito en cualquier divulgacion publica (si lo deseas)
- No tomar acciones legales contra investigadores de buena fe
Importante
Por favor no divulgues vulnerabilidades publicamente hasta que hayamos tenido tiempo razonable para abordarlas. Solicitamos un minimo de 90 dias antes de la divulgacion publica.
Puerto Seguro
Consideramos que la investigacion de seguridad realizada de acuerdo con esta politica esta autorizada. No tomaremos acciones legales contra investigadores que:
- Actuen de buena fe y eviten violaciones de privacidad
- Eviten interrumpir nuestros servicios
- No accedan ni modifiquen datos pertenecientes a otros
- Reporten vulnerabilidades de manera oportuna
- Nos den tiempo razonable para remediar antes de la divulgacion
Nota
Esta pagina es para reportar problemas de seguridad con la propia infraestructura de ODINT. Si deseas reportar infraestructura gubernamental expuesta que hayas descubierto, por favor visita nuestra pagina de Enviar Informacion.