Política de fallos de seguridad

El equipo de eventplanner.net está muy dedicado a salvaguardar los datos de los usuarios. Como pequeña empresa, centramos nuestros esfuerzos en colaborar con una conjunto selecto de investigadores y herramientas de seguridad. Tenemos la suerte de contar con la confianza y el apoyo de nuestra comunidad. Por lo tanto, no ofrecemos un 'programa de recompensas' tradicional con recompensas financieras.

Damos la bienvenida a los investigadores especializados en la seguridad que identifican vulnerabilidades legítimas con implicaciones sustanciales para que compartan sus hallazgos con nosotros. Tenemos en alta estima a los hackers éticos por su papel crucial en el mantenimiento de la ciberseguridad y, aunque somos una pequeña empresa con medios limitados, contribuimos a esta comunidad. Si, por el contrario, tu enfoque utiliza predominantemente herramientas automatizadas para detectar problemas menores y luego solicitas un pago, debemos informarte de que podrías terminar insatisfecho.

El alcance de esta Política se limita a los siguientes dominios: eventplanner.net, eventplanner.be, eventplanner.nl, eventplanner.es, eventplanner.de, eventplanner.ie, eventplanner.co.uk, eventplanner.lu y eventplanner.fr . Ten en cuenta que el código base para todos estos dominios es el mismo, por lo que es mejor centrar tus esfuerzos en el dominio principal, eventplanner.net

En virtud de esta Política, nos comprometemos a corregir todos los errores aceptados en un plazo razonable, determinado en función de la gravedad y la complejidad.

El idioma oficial de esta Política es el inglés, que sirve como versión principal y rectora. En caso de discrepancia entre la versión en inglés de esta Política y cualquier traducción posterior, la versión en inglés prevalecerá y tendrá autoridad.

Reglas de Intervención

Si, una vez leída la información anterior, aún deseas revelarnos cualquier vulnerabilidad, reconoce que no mantenemos un "programa de recompensas" y que cualquier recompensa potencial se ofrecerá en función de nuestros criterios de distribución de recompensas. Al enviar tus informes, expresas tu consentimiento y compromiso de adherirte a las directrices de la Política y Condiciones Legales mencionadas en esta Política, reconociendo que has leído y comprendido completamente estos términos.

Normativa

  • Comprueba las vulnerabilidades sólo utilizando cuentas de tu propiedad personal; nunca comprometas ni apuntes a cuentas que pertenezcan a otros usuarios. eventplanner.net no proporciona acceso ni cuentas adicionales, incluidas las cuentas de prueba.
  • No interactúes con el contenido de nuestros usuarios, por ejemplo, dando "me gusta" a las publicaciones, comentando o solicitando ofertas. Para experimentar con estas funciones, visita nuestra página de pruebas.
  • Nunca uses un hallazgo para comprometer o filtrar datos, o para pasar a otros sistemas. Una prueba de concepto solo debe usarse para demostrar un problema.
  • Si el proceso de descubrimiento de una vulnerabilidad da como resultado el acceso a información confidencial, como datos personales o credenciales, esta información no debe ser retenida, transferida, accedida o procesada de ninguna manera después de su descubrimiento inicial. Todas las instancias de información confidencial deben eliminarse.
  • Los investigadores no deben y no están autorizados a participar en actividades que puedan ser perturbadoras, perjudiciales o dañinas para eventplanner.net, sus marcas o usuarios. Esto incluye ingeniería social, phishing, seguridad física y ataques de denegación de servicio contra usuarios y empleados, o eventplanner.net
  • En la búsqueda de vulnerabilidades, está prohibido comprometer las condiciones de integridad, disponibilidad y confidencialidad de las aplicaciones y servicios de eventplanner.net. Cualquier actividad que pueda dañar las aplicaciones, la infraestructura, los clientes o los socios de la empresa está estrictamente prohibida.
  • Mientras se prueba la inyección de SQL, cualquier acción del servidor está estrictamente prohibida, excepto recuperar información sobre la base de datos actual, su versión, el usuario actual o el nombre del host.
  • Al probar la carga y lectura de archivos, está estrictamente prohibido leer, alterar, modificar, eliminar o reemplazar cualquier archivo del servidor, incluidos los archivos del sistema.
  • Los investigadores no pueden divulgar vulnerabilidades públicamente (compartir ningún detalle con nadie que no sea un empleado autorizado de eventplanner.net) ni compartir vulnerabilidades con un tercero sin el permiso expreso por escrito de eventplanner.net. La exposición a las autoridades solo es posible después de una consulta mutua y con el permiso de eventplanner.net
  • Mantén una interrupción mínima. Cumple siempre con las normas de la Política. No utilices escáneres ni herramientas automatizadas; estas herramientas incorporan cargas útiles que podrían instigar cambios de estado o dañar los sistemas y datos de producción.
  • No realices pruebas más allá de lo necesario para descubrir la vulnerabilidad.
  • Antes de causar un daño potencial, cesa la actividad, informa sobre tus hallazgos y solicita permiso adicional para realizar la prueba.
  • En ningún caso se incluirá en la autorización de esta Política el dolo o el acto de intención de perjudicar.

El incumplimiento de cualquiera de estas reglas podría resultar en la inelegibilidad y enjuiciamiento legal.

Términos legales

En relación con esta Política, te comprometes a cumplir con los Términos de uso y la Política de privacidad de eventplanner.net, junto con todas las leyes y reglamentaciones aplicables, incluidas las leyes y reglamentaciones que rigen la privacidad o el procesamiento legal de datos.

eventplanner.net se reserva la autoridad para revisar o modificar los términos de esta Política a su discreción. Si eres un residente o una persona que se encuentra dentro del Mapa de Sanciones de la UE (tal como lo emite la Unión Europea), tienes prohibido participar.

eventplanner.net no otorga permiso implícito ni explícito a ninguna persona o grupo de personas para (1) extraer y publicar información personal o contenido perteneciente a los clientes de eventplanner.net o sus usuarios sin el consentimiento del usuario, o (2) alterar o corromper programas o datos que pertenecen a eventplanner.net, sus socios o proveedores con el fin de extraer y divulgar públicamente los datos.

La ley del 28 de noviembre de 2022 (Ley belga), relativa a la protección de quienes notifiquen infracciones de la legislación nacional o de la Unión Europea establecida dentro de una entidad jurídica en el sector privado, sigue en pleno vigor.

Los empleados de eventplanner.net (incluidos los antiguos empleados), los autónomos, los contratistas y su personal, los consultores, los familiares directos y las personas que residan en el mismo hogar no pueden optar por recibir recompensas de ningún tipo.

Información personal

El tratamiento de datos personales no está incluido en esta política. En el caso de una acción específica o el descubrimiento de una vulnerabilidad que exponga datos personales, se debe contactar con eventplanner.net de inmediato para verificar si la investigación de seguridad puede continuar. El procesamiento de datos personales siempre está sujeto a la firma de un DPA (Acuerdo de procesamiento de datos) en virtud del cual se deben asegurar las garantías que se detallan a continuación:

  • solo tratar datos personales sobre la base de instrucciones escritas de eventplanner.net;
  • para obtener una confirmación por escrito, todas las personas autorizadas para procesar datos personales deberán firmar un acuerdo de confidencialidad (NDA), un acuerdo de tratamiento de datos (DPA), y seguir toda la legislación europea aplicable, incluido el mantenimiento de los datos en Europa;
  • debes tomar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo;
  • obtén el consentimiento previo de eventplanner.net para emplear a otro hacker ético y obligar a este último a cumplir con el contenido de esta política;
  • asistir a eventplanner.net mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de los derechos del titular de los datos;
  • ayudar a eventplanner.net a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD (seguridad, notificación de incumplimiento, análisis de impacto, consulta previa), teniendo en cuenta la naturaleza del procesamiento y la información disponible para el hacker ético;
  • notificar a eventplanner.net sin demora tan pronto como el hacker ético se dé cuenta de una violación de datos personales;
  • después de participar en las actividades bajo la política, eliminar todos los datos personales o devolverlos a eventplanner.net, y eliminar las copias existentes;
  • proporciona a eventplanner.net toda la información necesaria para demostrar el cumplimiento de tus obligaciones, incluido un registro de todas las categorías de actividades de procesamiento que se han llevado a cabo en nombre de eventplanner.net;
  • excluir el uso de datos personales para una finalidad distinta a la de detectar vulnerabilidades en el sistema o comunicar estos datos a terceros;

Acuerdo de confidencialidad

Antes de profundizar en las vulnerabilidades identificadas en virtud de esta Política, incluidos temas como la remuneración, primero deberás firmar un Acuerdo de confidencialidad con nosotros. Esto servirá como requisito previo antes de proceder.

Safe harbour

eventplanner.net se compromete a no emprender ninguna acción legal ni instigar una investigación policial contra un investigador que informe una vulnerabilidad, siempre que el investigador se adhiera estrictamente a esta Política.

Es importante tener en cuenta que si tu investigación de seguridad involucra las redes, sistemas, datos, aplicaciones, productos o servicios de otra entidad (que no seamos nosotros), esa entidad tiene la potestad de decidir si emprende acciones legales. No tenemos la autoridad para sancionar la investigación de seguridad en nombre de otras organizaciones. En caso de que un tercero inicie procedimientos legales contra ti y tú hayas cumplido con esta Política, tomaremos medidas adecuadas para revelar que tus actividades se realizaron de acuerdo con esta Política.

Esta política tampoco puede ser de ninguna manera una incitación a la piratería por parte de terceros.

Como siempre, debes cumplir con todas las leyes y regulaciones pertinentes.

Antes de participar en cualquier actividad que pueda percibirse como contradictoria o no abordada por esta Política, envía un informe a security@eventplanner.net

Pruebas

El tráfico web diario intercambiado entre eventplanner.net, nuestros dominios asociados y nuestros socios de alojamiento genera inmensos volúmenes de datos. Al realizar pruebas, es beneficioso para nosotros que puedas distinguir tu tráfico de pruebas de nuestros datos habituales y de entidades externas potencialmente dañinas. Por lo tanto, te rogamos que observes los siguientes pasos durante tus pruebas:

  • Siempre que sea posible, utiliza la dirección de correo electrónico principal que utilizas para comunicarte con eventplanner.net para registrar cuentas.
  • Incluye tu dirección IP en tu informe de errores. Te aseguramos que esta información se mantendrá confidencial y se utilizará únicamente para revisar los registros relacionados con tu actividad de prueba.
  • Incorpora un encabezado HTTP único en todo tu tráfico. Los proxies como Burp permiten la adición fácil y automática de encabezados a todas las solicitudes salientes. Infórmanos sobre el encabezado que has establecido para que podamos identificarlo fácilmente.

Presentar un informe

Si nuestro equipo de seguridad no puede reproducir o validar un problema, no se puede conceder una recompensa. Para mejorar la eficiencia de nuestro proceso de envío, solicitamos que los envíos incluyan lo siguiente:

  • Una descripción detallada de la vulnerabilidad
  • Una guía en la que se detallen los pasos necesarios para reproducir la vulnerabilidad notificada
  • Evidencia que demuestre la explotabilidad (p. ej., captura de pantalla o vídeo)
  • Impacto previsto en otro usuario o en la organización
  • Vector y puntuación CVSSv3 sugeridos (excluidos los modificadores ambientales y temporales)
  • Lista de URLs y parámetros afectados
  • Otras URL vulnerables, cargas útiles adicionales, código de prueba de concepto
  • Información sobre el navegador, el sistema operativo y/o la versión de la aplicación utilizada durante las pruebas

Atención: el incumplimiento de estos requisitos mínimos puede resultar en la pérdida de una recompensa.

Toda la evidencia de respaldo y otros archivos adjuntos deben almacenarse exclusivamente dentro del informe que envíes. Abstente de alojar archivos en servicios externos. Envía amablemente todos los informes de seguridad por correo electrónico, con archivos adjuntos, a security@eventplanner.net

Recompensas

Como se indicó, no operamos un 'programa de recompensas' tradicional que implica recompensas monetarias. No obstante, tenemos un profundo respeto por los hackers éticos y el trabajo de gran valor que realizan, por lo que nuestro objetivo es compensar tus esfuerzos, a pesar de nuestra posición como una pequeña empresa con recursos finitos. Esto implica que no podemos garantizar ninguna recompensa fija, pero nos esforzamos por recompensar dentro de los rangos estipulados a continuación.

Clasificamos los errores según su gravedad, que eventplanner.net determina subjetivamente. Si las recompensas se consideran apropiadas, la decisión queda exclusivamente a discreción de eventplanner.net, y dichas recompensas, si las hubiera, se procesarán dentro de un período de 30 días. Por lo general, no ofrecemos recompensas por vulnerabilidades que requieren interacciones excesivamente complicadas o cuyo impacto o riesgo de seguridad se considera mínimo. Si hay alguna evidencia de infracciones de la política, se pueden retener las recompensas.

Gravedad > Posible recompensa, no garantizada:

  • Crítico > € 500
  • Alto > € 150-350
  • Medio > € 50
  • Bajo > € 0, pero muchas gracias
  • Informativo > € 0

Fuera de alcance

Ciertas vulnerabilidades se consideran fuera de alcance. Esas vulnerabilidades fuera de alcance incluyen, pero no se limitan a:

  • Spam
  • Salida de escáner o informes generados por escáner
  • Vulnerabilidades de seguridad en aplicaciones, bibliotecas y sitios web de terceros integrados con eventplanner.net
  • Problemas de los que ya somos conscientes o hemos informado anteriormente
  • Problemas que requieren una interacción poco probable del usuario
  • Problemas encontrados a través de pruebas automatizadas
  • Problemas relacionados con los protocolos de red
  • Divulgación de la versión del software
  • Páginas de error detalladas (sin prueba de explotabilidad)
  • SPF/DKIM/DMARC incompletos/faltantes
  • Clickjacking/UI redressing
  • Uso de biblioteca vulnerable conocida (sin prueba de explotabilidad)
  • Ataques físicos
  • Redireccionamientos abiertos intencionados
  • Reflected file download
  • Atributo de autocompletar en formularios web
  • Revelación de información que no presenta un riesgo significativo
  • Vulnerabilidades que requieren ingeniería social/phishing
  • Ataques DDoS (ataque distribuido de denegación de servicio)
  • Falsificación de solicitudes entre sitios con un impacto mínimo en la seguridad
  • Inyección CSV
  • Cuestiones generales de buenas prácticas (incluido SSL/TLS)
  • Ataques de intermediario
  • Inyecciones de encabezado de host sin un impacto específico demostrable
  • Self-XSS, que incluye cualquier carga útil introducida por la víctima
  • Iniciar/cerrar sesión CSRF
  • CSRF y XSS sin influir en los datos confidenciales
  • Omitir la comprobación de root y jailbreak
  • Mensajes sobre las desventajas de usar códigos SMS
  • Envío ilimitado de SMS y correo electrónico
  • Problemas con correos electrónicos, SMS u otros mensajes
  • Información sobre direcciones IP, registros DNS y puertos abiertos
  • Tabnabbing
  • Divulgación de ruta completa
  • Problemas relacionados con el control de caché
  • Cuestiones hipotéticas que no tienen un impacto práctico
  • Falta de banderas de cookies
  • Broken link hijacking
  • Errores de UX/UI y errores ortográficos
  • Errores publicados públicamente en el software de internet dentro de los 30 días posteriores a su divulgación
  • Problemas relacionados como 'Mismo error, distinto host/dominio' o 'Misma carga útil, distinto parámetro'
  • Políticas, encabezados u otras configuraciones

Preguntas

Para cualquier consulta relacionada con nuestra política, comunícate con security@eventplanner.net. Apreciamos tu cooperación.

EVENTS - Kevin Van der Straeten ¡Cómpralo ahora!