Reporte de vulnerabilidades

Bienvenido a nuestro programa de vulnerabilidades

Hacked Alert es una organización que nace desde la comunidad, y es por esto que ofrecemos el presente Vulnerability Disclosure Program (VDP) para coordinación del proceso relacionado a la recepción, reparación y divulgación de vulnerabilidades informáticas, para finalmente otorgar un reconocimiento honorífico al informador.

Políticas del Programa de Vulnerabilidades

A continuación, se describen las políticas a considerar antes de reportar una brecha, y a las cuales adhieres de manera automática una vez que el reporte es emitido:

  • Está prohibido compartir o divulgar cualquier dato sobre el reporte mientras el caso no haya sido cerrado oficialmente.
  • Adherimos al estándar internacional de 90 días, pero en casos excepcionales el plazo de tratamiento puede ser menor o mayor.
  • Por el momento, no ofrecemos recompensas monetarias.
  • Para el establecimiento de la severidad será utilizado CVSS 3.1
  • El abuso o transgresión de las políticas puede llevar a acciones legales.

Vulnerabilidades y Actividades fuera del Alcance

Nos reservamos el derecho de excluir las siguientes vulnerabilidades y actividades de nuestro programa:

  • Toda clase de vulnerabilidades y procedimientos relacionados a Ingeniería Social
  • Prácticas y ataques deliberados de DoS y DDoS
  • Ausencias o errores de configuración asociados a servicios de correo (DMARC, MX, SPF, etc.)
  • Ausencias o errores de configuración asociados a TLS y certificados SSL
  • Vulnerabilidades asociadas a servicios de terceros, a excepción de plugins y theme de WordPress, para lo cual no intermediamos vulnerabilidades, pero te ayudamos y avalamos en el proceso.
  • Enumeración de usuarios sin impacto sobre el sistema (CVE-2017-5487, etc.)

Vulnerabilidades y Actividades en el Alcance

Priorizamos las vulnerabilidades de impacto Alto y Crítico basadas en:

  • 0-day en plugins y theme de WordPress
  • Bug chaining
  • Carriage Return Line Feed (CRLF)
  • Cross-site Scripting (XSS)
  • Cross-site Request Forgery (CSRF)
  • Server Side Request Forgery (SSRF)
  • SQL Injection (SQLi)
  • Remote Code Execution (RCE)
  • Entre otras.

Utilizamos servicios de teceros para CMS, servidor, hospedaje, WAF, Firewall, bot detection, entre otras cosas. Todo servicio de terceros queda completamente excluído.

Recursos Digitales en el Alcance

  • *.hackedalert.com
  • https://hackedalert.com/*

Reconocimiento Honorífico

  • Vulnerabilidades de severidad baja: Hall of Fame
  • Vulnerabilidades de severidad media: Hall of Fame y Carta de Reconocimiento
  • Vulnerabilidades de Severidad Alta y Crítica: Hall Of Fame, Carta de Reconocimiento, y una Medalla-Coin

Envía tu reporte usando el siguiente formulario

Por favor, prepara tu reporte en formato PDF, y compartenos un enlace de visualización o descarga. Por ahora, no aceptamos archivos adjuntos. ¡Gracias por participar!