Última actualización, 26 de marzo de 2021
Estamos comprometidos a mantener la seguridad de nuestros sitios web y aplicaciones. Nos encantaría premiar la detección de vulnerabilidades.
Vulnerabilidades calificadas
Los diseños o problemas de implementación que puedan afectar negativamente la confidencialidad e integridad de nuestros datos de usuario serán parte del objetivo del programa. Algunas irregularidades comunes incluyen:
- Secuencias de comandos entre sitios
- Falsificación de solicitudes entre sitios
- Guiones de contenido mixto
- Defectos de autenticación o autorización
- Errores de ejecución de código del lado del servidor
Por motivos de disponibilidad de nuestros servicios para todos los usuarios, te solicitamos que no intentes realizar algún ataque DoS, no aproveches las técnicas de SEO de sombrero negro, de correos no deseados, la autenticación por fuerza bruta ni realices otras acciones igualmente cuestionables. También desaconsejamos el uso de herramientas de prueba de vulnerabilidades que puedan generar automáticamente volúmenes muy importantes de tráfico web.
Valor de las recompensas monetarias por las vulnerabilidades de seguridad
Las recompensas monetarias por errores que califiquen varían desde créditos hasta $2,000, según la clase de errores y el impacto en el negocio. Puede encontrar el valor de las vulnerabilidades de seguridad en la siguiente tabla:
| – | Impacto1 | |||
|---|---|---|---|---|
| – | Alto | Medio | Bajo | |
| Probabilidad 2 | Alta | $200 | $100 | |
| Media | $100 | $50 | $10 | |
| Baja | $50 | $10 | – |
1. La evaluación del impacto se basa en el potencial del ataque para causar violaciones de la privacidad, pérdidas financieras y otros daños a los usuarios, así como a la base de usuarios alcanzada.
2. La evaluación de la probabilidad tiene en cuenta el conjunto de habilidades técnicas necesarias para realizar el ataque, los posibles motivadores de dicho ataque y la probabilidad de que un atacante descubra la vulnerabilidad.
Ten en cuenta que el monto final de la recompensa queda a discreción del panel de recompensas según la evaluación de probabilidad e impacto. La decisión será definitiva y no se admitirán disputas.
Investigación e informe de errores
Cuando investigas una vulnerabilidad, utiliza tu propia cuenta como objetivo del ataque. No intentes acceder a los datos de otra persona ni participes en actividades que puedan perturbar o dañar a otros usuarios.
En el caso de que exista la misma vulnerabilidad en varios productos, combina los problemas y envíanos un informe. Si has encontrado una vulnerabilidad, contáctanos en marketing@ahasave.com. Ten en cuenta que solo podremos responder informes técnicos de vulnerabilidad.
Ten en cuenta también que solo se recompensará el primer informe sobre una vulnerabilidad específica; los informes duplicados posteriores sobre el mismo problema no serán recompensados. Se recompensará el primer informe sobre la vulnerabilidad específica. Incluye pasos en texto sin formato para reproducir la vulnerabilidad, con video y/o imágenes.
Motivos de legalidad
AhaSave no puede otorgar recompensas a personas que están en listas de sanciones o que se encuentran en países (es decir, Cuba, Irán, Corea del Norte, Sudán y Siria) en listas de sanciones. Usted será responsable de las implicaciones fiscales en función de su país de residencia y ciudadanía. Es posible que se le impongan restricciones adicionales, según la ley local.
Este programa de recompensas no es una competencia. Es un programa de recompensas experimental y discrecional que permitirá a nuestro equipo trabajar en vulnerabilidades que fueron descubiertas por entusiastas de la tecnología. Ten en cuenta que AhaSave tiene la decisión final de cancelar el programa en cualquier momento y la decisión de otorgar la recompensa monetaria. Por último, tus pruebas no deben violar ninguna ley, ni interrumpir y/o comprometer ningún dato que no sea tuyo.
