Reporte de Vulnerabilidad de Información

Divulgación responsable

Estamos comprometidos a proteger la información de nuestros clientes. Si cree que ha identificado una vulnerabilidad de seguridad, apreciamos su ayuda para divulgarla de manera responsable, notificándonos por correo electrónico a security@goanimate.com.

La seguridad es muy importante para nosotros e investigaremos y responderemos a todos los informes de vulnerabilidad. Estamos más que interesados en las vulnerabilidades asociadas con goanimate.com y goanimate4schools.com.

Al reportar, por favor tome nota de los siguientes puntos:

  • Por favor describa la(s) falla(s) con suficiente detalle y establezca las ramificaciones de los exploits.

  • Incluya pruebas reproducibles, de ser aplicable, como fragmentos de código, URL de solicitud y carga de ataque, capturas de pantalla, archivos de rastreo de paquetes o captura de video que demuestren el exploit. Si es útil, enumere materiales de referencia en sitios externos si pudieran ayudarnos a comprender mejor la naturaleza del problema.

  • Evite informar varios tipos de vulnerabilidades en el mismo correo electrónico, ya que esto puede crear confusión entre informes de vulnerabilidad similares y evitar que identifiquemos rápidamente vulnerabilidades críticas a su debido tiempo. Si tiene varias vulnerabilidades para informar, envíenos un correo electrónico para cada tipo de vulnerabilidad.

  • No realice pruebas que puedan afectar a nuestros clientes o degradar el servicio, como ataques de denegación de servicio, ingeniería social y correo no deseado.

  • No está permitido realizar pruebas de penetración en el nivel de host.

  • No puede recolectar información asociada con ninguna cuenta que no sea suya. En caso de que haya tropezado accidentalmente con dicha información, debe informarnos sobre dicha vulnerabilidad y borrar todas las copias almacenadas localmente de los datos de terceros.

  • Mantenga sus hallazgos en secreto hasta que hayamos confirmado y solucionado los problemas.

  • Podemos comunicarnos con usted para solicitar información adicional si su informe no contiene suficiente información que nos permita comprender el contexto de los problemas que se informan.

  • Nos pondremos en contacto con usted entre 1 día hábil y 1-3 semanas, dependiendo de la gravedad del problema y de la calidad de su informe. Por favor, no nos bombardeen con consultas de verificación de estado.

  • Las divulgaciones que califican pueden hacerlo elegible para nuestro salón de la fama, como se describe a continuación.

 

Salón de la Fama

Si se descubre una vulnerabilidad grave, agradecemos su contribución al reconocer sus esfuerzos en nuestro salón de la fama sujeto a las siguientes disposiciones:

  • Si recibimos varios informes por la misma vulnerabilidad, solo se reconocerá el primer informe útil.

  • GoAnimate se reserva el derecho de elegir el "primer informe útil" mediante la evaluación de factores que incluyen, entre otros, el momento de recepción y la exhaustividad del envío. El principio rector de la utilidad es la utilidad de la presentación por derecho propio que nos ha ayudado a identificar y remediar una vulnerabilidad de calificación específica.

  • Al enviarnos una vulnerabilidad, usted acepta que la decisión de si se debe proporcionar un reconocimiento queda a la entera discreción de GoAnimate.

  • Del mismo modo, GoAnimate se reserva el derecho de rechazar cualquier informe de vulnerabilidad a discreción.

  • Los agradecimientos figuran actualmente en la página de divulgación de seguridad. GoAnimate se reserva el derecho de reubicar el contenido a otra URL según sea necesario en el futuro debido a la reestructuración del sitio o por cualquier otro motivo.

  • No se proporcionará ninguna compensación monetaria.

  • Tenga en cuenta que las vulnerabilidades Clickjacking y CSRF solo se revisan para sitios y páginas donde la facilidad de explotación y el riesgo para goanimate.com y goanimate4schools.com son significativos.

El Programa de divulgación de seguridad está sujeto a cambio o cancelación por parte de GoAnimate en cualquier momento, sin previo aviso. Como tal, GoAnimate puede modificar estos términos en cualquier momento publicando una versión revisada en nuestro sitio web.

 

El siguiente anexo enumera ejemplos de vulnerabilidades que son elegibles e inelegibles, respectivamente, para su inclusión en el salón de la fama. Las listas no son exhaustivas.

Ejemplos de vulnerabilidades que califican

  • Bypass de autenticación 
  • Autentificación de autenticación
  • Cross site scripting
  • Ejecución del código del lado del servidor
  • Inyección SQL
  • Escalada de privilegios
  • Exposición de información sensible

 

Ejemplos de vulnerabilidades no calificadas

  • Negación de servicio
  • Ingeniería social
  • Guiones de contenido mixto
  • Cookies inseguras
  • Vulnerabilidades que requieren que una víctima potencial instale software no estándar o tome medidas activas para hacerse susceptible
  • Vulnerabilidades específicas para navegadores desactualizados
  • Divulgación de banner de servidor web

 

Queremos agradecer a las siguientes personas por informarnos vulnerabilidades de manera responsable. ¡Gracias!

  • Rodolfo Godalle (@rodgodalle)
  • Koutrouss Naddara
  • Osama Mahmood
  • Thatipalli Abhishek
  • Mihir Mistry
  • Ch. Muhammad Osama (@ChMuhammadOsama)
  • Arvind Singh Shekhawat (@EhArvindSingh)
  • JAYVARDHAN SINGH (@Silent_Screamr)
  • Saurabh Chandrakant Nemade (@SaurabhNemade)
  • Anurag Giri
  • mahipal singh rajpurohit (@rajgurumahi007)
  • Sebastian Neef & Richard Kwasnicki
  • Renatas Karpuška
  • Muhammad Talha Khan (@M7K911)
  • Kesav Viswanath Nimmagadda (@kesavnimmagadda)
  • Kamil Sevi  (@kamilsevi)
  • ajay singh negi (@AjaySinghNegi)
  • Nadi Abdellah
  • Roy Jansen (@RoyJansen_01
  • Jaidip Kotak (@JaidipKotak)
  • Ahmed Y. Elmogy
  • Ramin Farajpour Cami (@MF4rr3ll)
  • Ahmed Jerbi
  • Ayoub Ait Elmokhtar (@aessadek)
  • Sandeep Sudhagani
  • ABDULWAHAB Khan (@hackerwahab)
  • Pal Patel
  • RAVELA PRAMOD KUMAR (@PramodRavela)
  • İsmail BÜLBÜL (Usgf.org.tr)
¿Tiene más preguntas? Enviar una solicitud
Seguir