Ya está disponible el Calendario de Compromiso de los Empleados 2025.

Descargar ahora

Programa de recompensas por fallos de Empuls

En Empuls, entendemos que la protección de los datos de los consumidores es de alta prioridad y una responsabilidad importante que requiere una vigilancia constante. Valoramos profundamente a todos aquellos en la comunidad de seguridad que nos ayudan a garantizar el 100% de la seguridad de nuestros sistemas en todo momento.

Creemos que la divulgación responsable de las vulnerabilidades de seguridad nos ayuda a mantener la máxima seguridad y privacidad de nuestros usuarios. Invitamos a los investigadores de seguridad a informar de cualquier vulnerabilidad de seguridad que puedan encontrar en nuestros productos. Aquellos que envíen fallos dentro del ámbito de nuestro programa serán recompensados de corazón por su apoyo y experiencia en seguridad.

Cómo funciona

  1. Si observa algún posible problema de seguridad mientras cumple todos los criterios exigidos en nuestra política, póngase en contacto con nosotros en empuls para crear un ticket.
  2. Nuestro equipo de seguridad validará la gravedad y autenticidad del problema notificado en un plazo de 90 días.  
  3. Tras la validación, nuestro equipo tomará medidas para solucionar los problemas de seguridad con nuestras políticas de seguridad.  
  4. Una vez resuelta la incidencia, nuestro equipo informará al propietario del ticket.

Admisibilidad

Para poder optar a una recompensa, deberá cumplir los siguientes requisitos:

  1. Debes ser la primera persona en informar de una vulnerabilidad a Empuls.  
  2. El problema debe afectar a cualquiera de las aplicaciones enumeradas en nuestro ámbito de aplicación definido.  
  3. El problema debe estar incluido en la lista de "fallos cualificados".  
  4. No está permitida la publicación de información sobre vulnerabilidades en el dominio público.  
  5. Cualquier información sobre el problema de vulnerabilidad debe mantenerse confidencial hasta que se resuelva el problema.  
  6. No se debe violar ninguna política de privacidad establecida por Empuls al realizar las pruebas de seguridad.
  7. Queda totalmente prohibida la modificación o eliminación de datos de usuarios no autenticados, la interrupción de los servidores de producción o cualquier forma de degradación de la experiencia del usuario.  

La violación de cualquiera de estas normas puede dar lugar a la inelegibilidad o la eliminación del programa de recompensas por fallos Empuls .

Directrices

  1. Utilice únicamente el canal identificado empuls para informar de cualquier vulnerabilidad de seguridad.
  2. Al plantear el ticket, asegúrese de que se menciona la descripción y el impacto potencial de la vulnerabilidad.
  3. También deben incluirse instrucciones detalladas sobre los pasos a seguir para reproducir la vulnerabilidad.
  4. Debe adjuntarse un vídeo POC completo que muestre todos los pasos y la información.
  5. A continuación se detallan el ámbito de aplicación y los criterios de cualificación.

Alcance

  1. Plataforma: https:xoxoday
  2. Sitios web fuera del ámbito de aplicación: subdominios de puesta en escena, cualquier otro subdominio que no esté conectado a empuls.io.

Vulnerabilidades calificadas

Es probable que cualquier problema de diseño o implementación que afecte sustancialmente a la confidencialidad o integridad de los datos del usuario esté en el ámbito del programa. Algunos ejemplos comunes son:

  • Secuencias de comandos en sitios cruzados (XSS)
  • Falsificación de petición en sitios cruzados (CSRF)
  • Falsificación de peticiones del lado del servidor (SSRF)
  • Inyección SQL
  • Ejecución remota de código del lado del servidor (RCE)
  • Ataques a entidades externas XML (XXE)
  • Problemas de control de acceso (problemas de referencia directa a objetos inseguros, escalada de privilegios, etc.)
  • Paneles administrativos expuestos que no requieren credenciales de inicio de sesión
  • Problemas de cruce de directorios
  • Divulgación local de archivos (LFD) e inclusión remota de archivos (RFI)
  • Manipulación de pagos
  • Errores de ejecución de código del lado del servidor
  • API Rate Limiting and Throttling
    - Eludir los límites de velocidad de la API.
    - Condiciones de carrera y problemas de concurrencia en los puntos finales de la API.

Vulnerabilidades no admisibles

  • Redirecciones abiertas: El 99% de las redirecciones abiertas tienen un bajo impacto en la seguridad. Para los raros casos en que el impacto es mayor, por ejemplo, el robo de tokens oauth, todavía queremos oír hablar de ellos
  • Informes que afirman que el software está obsoleto/es vulnerable sin una "prueba de concepto".
  • Problemas con el encabezado del host sin un POC que demuestre la vulnerabilidad
  • Problemas de XSS que sólo afectan a navegadores obsoletos
  • Rastreos de pila que revelan información
  • Clickjacking y problemas que sólo pueden explotarse mediante clickjacking
  • Inyección CSV. Consulte este artículo: Inyección de fórmulas CSV | Google
  • Buenas prácticas
  • Informes muy especulativos sobre daños teóricos. Sea concreto
  • Auto-XSS que no puede utilizarse para explotar a otros usuarios
  • Vulnerabilidades notificadas por herramientas automatizadas sin un análisis adicional de por qué constituyen un problema.
  • Informes de escáneres automáticos de vulnerabilidades web (Acunetix, Burp Suite, Vega, etc.) que no hayan sido validados.
  • Ataques de denegación de servicio
  • Ataques de fuerza bruta
  • Descarga de archivos reflejados (RFD)
  • Intentos de ingeniería física o social (esto incluye ataques de phishing contra empleados Empuls ).
  • Problemas de inyección de contenidos
  • Falsificación de petición en sitios cruzados (CSRF) con implicaciones de seguridad mínimas (CSRF de cierre de sesión, etc.)
  • Faltan atributos de autocompletar
  • Faltan banderas de cookies en cookies no sensibles a la seguridad
  • Cuestiones que requieren acceso físico al ordenador de la víctima
  • Faltan cabeceras de seguridad que no presentan una vulnerabilidad de seguridad inmediata.
  • Cuestiones de fraude
  • Recomendaciones sobre la mejora de la seguridad
  • Informes de escaneado SSL/TLS (es decir, resultados de sitios como SSL Labs)
  • Cuestiones relacionadas con la captura de banners (averiguar qué servidor web utilizamos, etc.)
  • Puertos abiertos sin un POC que demuestre la vulnerabilidad
  • Vulnerabilidades reveladas recientemente. Necesitamos tiempo para parchear nuestros sistemas como todo el mundo. Por favor, dénos dos semanas antes de informar de este tipo de problemas.

Recompensa

Las recompensas de las Bug Bounty se pagarán en forma de tarjetas regalo populares. El valor de la tarjeta regalo dependerá de la gravedad y la calidad del fallo, como se indica a continuación:

Gravedad del error
Valor de la recompensa
Alta
$250
Medio
$150
Bajo
$100

Nota

La decisión final sobre la elegibilidad de los bichos y su recompensa será tomada por Empuls. El programa existe a discreción de la empresa y puede cancelarse en cualquier momento.

¿Ha encontrado un error?

Póngase en contacto con nosotros para enviarnos un ticket si detecta algún posible problema de seguridad y cumple todos los requisitos de nuestra política.

Informe
Empresa
Quiénes somos
Empleo 🚀 Estamos contratando
Gente y cultura
Redacción
Socios
Programa de referencia
Recursos
Todas las funciones
Blogs
Seminarios en línea
Descargar
Historias de clientes
Glosario
Ayuda
Aplicaciones móviles
Preguntas frecuentes
Centro de ayuda
Levantar una multa
Servicios profesionales
Ponte en contacto
Precios
Póngase en contacto con nosotros
Reserve una demostración
RFP
Política de privacidad
Seguridad
Condiciones de uso
Recompensas por fallos
2025 Xoxoday | Todos los derechos reservados