Programa de divulgación de vulnerabilidades



La seguridad de los datos y la comunicación de los usuarios es de suma importancia para Salesflare. En la búsqueda de la mejor seguridad posible para nuestro servicio, agradecemos la divulgación responsable de cualquier vulnerabilidad que encuentre en Salesflare. Los principios de la divulgación responsable incluyen, pero no se limitan a:


  • Acceda o exponga únicamente datos de clientes que sean suyos.
  • No exfiltre datos de nuestra infraestructura (incluido código fuente, copias de seguridad de datos, archivos de configuración).
  • Si obtiene acceso remoto a nuestro sistema, informe inmediatamente de su hallazgo. No intente pivotar a otros servidores o elevar el acceso.
  • Evite las técnicas de escaneado que puedan causar una degradación del servicio a otros clientes (por ejemplo, sobrecargando el sitio). Esto incluye el envío masivo de formularios de contacto, correos electrónicos de asistencia, etc.
  • Manténgase dentro de las directrices de nuestras Condiciones de servicio.
  • Mantener en secreto los detalles de las vulnerabilidades hasta que se haya notificado Salesflare y se haya dispuesto de un tiempo razonable para solucionar la vulnerabilidad.
  • Para poder optar a una recompensa, su envío debe ser aceptado como válido por Salesflare. Utilizamos las siguientes directrices para determinar la validez de las solicitudes y la recompensa ofrecida.

Alcance


  • *salesflare.com

Fuera del ámbito de aplicación


  • blogsalesflare.com
  • integracionessalesflare.com
  • howtosalesflare.com

Requisitos para la presentación de errores


Cuando envíe una vulnerabilidad o un incidente, facilite:


  • La descripción detallada del problema, la posibilidad de explotarlo y su impacto.
  • Los pasos reproducibles (si procede): nuestros ingenieros deben ser capaces de reproducir el fallo de seguridad a partir de su informe.
  • El ID de equipo Salesflare que utilizó

Todas las presentaciones deben proporcionar pruebas y explicaciones de todos los pasos necesarios para reproducir el problema, que pueden incluir:


  • PoC (vídeos, capturas de pantalla, cargas útiles, solicitudes y respuestas web/API)
  • Configuración de permisos de usuario (cuando se informa de escalada o abuso de privilegios en una empresa)
  • Referencias y recomendaciones

Los informes demasiado vagos o poco claros no pueden optar a recompensa. Los informes que incluyen explicaciones claras y código de trabajo tienen más probabilidades de obtener recompensas.


Gravedad


Nos interesan las vulnerabilidades de seguridad que puedan explotarse para acceder a datos de usuarios. Sólo calificaremos y recompensaremos una vulnerabilidad si y sólo si el fallo puede ser utilizado con éxito por sí mismo o en combinación con otra vulnerabilidad que reportes para acceder a datos de usuario que no son tuyos. Los "bugs" generales nunca son vulnerabilidades calificables, y cualquier cosa que no sea un exploit es un "bug" general. El exploit debe basarse únicamente en vulnerabilidades de los sistemas de Salesflare.


Áreas de interés


  • Defectos de autenticación o autorización
  • Secuencias de comandos en sitios cruzados (XSS)
  • Falsificación de petición en sitios cruzados (CSRF/XSRF). Esto excluye CSRF de cierre de sesión.
  • Exposición de datos sensibles
  • Errores de ejecución de código del lado del servidor

Los siguientes tipos de hallazgos están específicamente excluidos de la recompensa o ya son conocidos:

  • Incumplimiento de las "mejores prácticas" (por ejemplo, cabeceras HTTP comunes, caducidad de enlaces o política de contraseñas).
  • Mensajes de error descriptivos (por ejemplo, Stack Traces, errores de la aplicación o del servidor).
  • Códigos/páginas HTTP 404 u otros códigos/páginas HTTP no-200.
  • Configuración de la infraestructura corporativa Salesflare (por ejemplo, registros SPF del servicio de correo)
  • Divulgación de archivos o directorios públicos conocidos, (por ejemplo, robots.txt).
  • Percepción de volúmenes excesivos de correo electrónico enviado (por ejemplo, inundación de correo).
  • Vulnerabilidades de denegación de servicio (DoS)
  • Posibilidades de enviar enlaces maliciosos a personas conocidas
  • Errores de seguridad en sitios web de terceros que se integran con Salesflare
  • Cookies inseguras en salesflare.com
  • Guiones de contenido mixto en salesflare.com
  • Vulnerabilidades que requieren que una víctima potencial instale software no estándar o tome medidas activas para ser susceptible.
  • Spam o técnicas de ingeniería social
  • Problemas de clickjacking, a menos que se proporcione un exploit que muestre la toma de control de la cuenta o la revelación de recursos sensibles.

Recompensas


Sólo se concederá 1 recompensa por vulnerabilidad alta o crítica.

Si recibimos varios informes sobre la misma vulnerabilidad, sólo recibirá recompensa la persona que ofrezca el primer informe claro.

Mantenemos la flexibilidad con nuestro sistema de recompensas y no tenemos una cantidad mínima/máxima; las recompensas se basan en la gravedad, el impacto y la calidad del informe. Las recompensas suelen oscilar entre 20 y 80 dólares, pero pueden ser superiores o inferiores.

Para recibir una recompensa, debes residir en un país que no figure en las listas de sanciones (por ejemplo, Cuba, Irán, Corea del Norte, Sudán y Siria). Este es un programa discrecional y Salesflare se reserva el derecho de cancelar el programa; la decisión de pagar o no una recompensa queda a nuestra discreción.

Las recompensas se pagan a través de Paypal. Estos servicios cobran una comisión por procesar la transacción, que se deduce del importe concedido.


Instrucciones para crear una prueba de Salesflare


Cualquiera puede crear una cuenta de prueba en: https:salesflare

Con una cuenta de prueba, también es posible crear una clave API para enviar solicitudes API. Encontrará más información aquí: https:salesflare

Se pueden probar todas las funciones disponibles.


Póngase en contacto con


Envíenos un correo electrónico a [email protected] con cualquier informe de vulnerabilidad o preguntas sobre el programa. Por favor, informe de cada nuevo error en un hilo de correo electrónico separado.