Programa de Recompensas por Errores

FlowHunt se esfuerza por mantener su servicio seguro para todos, y la seguridad de los datos es de máxima importancia. Si eres un investigador de seguridad y has descubierto una vulnerabilidad en el Servicio, agradecemos tu ayuda al informárnosla de forma privada y darnos la oportunidad de corregirla antes de publicar detalles técnicos.

FlowHunt colaborará con los investigadores de seguridad cuando nos reporten vulnerabilidades como se describe aquí. Validaremos, responderemos y solucionaremos vulnerabilidades en apoyo a nuestro compromiso con la seguridad y privacidad. No tomaremos acciones legales, suspenderemos ni cancelaremos el acceso al Servicio de quienes descubran y reporten vulnerabilidades de manera responsable. FlowHunt se reserva todos sus derechos legales en caso de cualquier incumplimiento.

Elegibilidad

Para ser elegible en nuestro programa de recompensas por errores, debes:

• Tener al menos 18 años de edad
• No ser empleado, contratista ni familiar inmediato (actual o anterior) de FlowHunt
• No estar sujeto a sanciones de EE. UU. ni residir en un país embargado por EE. UU.
• Cumplir con todas las leyes y regulaciones aplicables
• Seguir prácticas de divulgación responsable

Reporte

Comparte los detalles de cualquier posible vulnerabilidad con el equipo de seguridad de FlowHunt en support@flowhunt.io . Por favor, no divulgues públicamente estos detalles fuera de este proceso sin permiso explícito.

Requisitos de Calidad del Reporte

Tu informe de vulnerabilidad debe incluir:

• Resumen: Breve descripción de la vulnerabilidad
• Impacto: Potencial impacto en la seguridad y riesgo para el negocio
• Pasos para Reproducir: Instrucciones detalladas, paso a paso
• Prueba de Concepto: Evidencia demostrando la vulnerabilidad
• Activos Afectados: URLs, parámetros o componentes específicos
• Evaluación de Severidad: Tu evaluación del nivel de severidad
• Sugerencias de Mitigación: Recomendaciones para corregir (opcional)

Si deseas enviar múltiples informes al mismo tiempo, por favor envía solo uno (el más importante si es posible) y espera una respuesta.

Tiempos de Respuesta

• Acuse de recibo: Dentro de 5 días hábiles tras el envío del reporte
• Evaluación Inicial: Dentro de 10 días hábiles
• Plazo de Resolución: Dentro de 90 días para vulnerabilidades válidas
• Actualizaciones: Comunicaciones periódicas durante el proceso

Compensación

Nos complace ofrecer una recompensa por información sobre vulnerabilidades que nos ayude a proteger a nuestros clientes, como agradecimiento a los investigadores de seguridad que eligen participar en nuestro programa de recompensas.

Clasificación de Severidad

Severidad Crítica ($100):

• Ejecución remota de código
• Inyección SQL que permite acceso a datos
• Elusión de autenticación que afecta a múltiples usuarios
• Escalada de privilegios a nivel administrador
• Toma completa de una cuenta

Severidad Media ($50):

• Cross-site scripting (XSS) con impacto significativo
• Elusión de controles de acceso que afecta a datos limitados
• Traversal de directorios con acceso a archivos
• Vulnerabilidades en la gestión de sesiones
• Autenticación rota que afecta a usuarios individuales

Baja Severidad (No elegible para pago):

• Divulgación menor de información
• Self-XSS sin vector de ataque realista
• Problemas de limitación de tasas
• Faltan cabeceras de seguridad sin impacto explotable

Condiciones de Pago

• Las recompensas se pagan exclusivamente vía PayPal
• Los cazadores de bugs deben generar y enviar una factura de PayPal
• No hay otros métodos de pago disponibles
• Procesamiento del pago dentro de los 30 días posteriores a la recepción de la factura
• Todos los pagos están sujetos a las regulaciones fiscales aplicables

Solo se recompensará al primer informante de una vulnerabilidad. Los informes duplicados no serán recompensados.

Alcance

Dentro del Alcance

Solo puedes realizar pruebas en una Cuenta FlowHunt de la que seas propietario o seas un agente autorizado por el propietario de la cuenta para realizar dichas pruebas. Por ejemplo: tudominio.flowhunt.io

Activos Elegibles:

• Dominios y subdominios *.flowhunt.io
• Aplicaciones web y APIs de FlowHunt
• Aplicaciones móviles de FlowHunt (si corresponde)

Tipos de Vulnerabilidad Elegibles:

• Ejecución remota de comandos (RCE)
• Inyección SQL
• Autenticación rota
• Gestión de sesiones rota
• Elusión de control de acceso
• Cross-Site Scripting (XSS)
• Redirección abierta de URLs
• Traversal de directorios
• Server-Side Request Forgery (SSRF)
• Fallos en la lógica de negocio

Fuera del Alcance

Actividades Prohibidas:

• Ataques de ingeniería social (phishing, vishing, etc.)
• Ataques físicos o acceso físico a instalaciones de FlowHunt
• Ataques de denegación de servicio (DoS) o denegación de servicio distribuida (DDoS)
• Spam, comunicaciones masivas o herramientas automáticas contra nuestros sistemas
• Ataques a nivel de red o escaneo de infraestructura
• Ataques que requieran acceso físico a dispositivos de usuarios
• Ataques de fuerza bruta o crackeo de contraseñas
• Pruebas en cuentas que no te pertenecen o para las que no tienes permiso explícito

Hallazgos No Elegibles:

• Informes donde un atacante solo pueda amenazar su propia cuenta
• XSS causado por un administrador o usuario privilegiado
• Vulnerabilidades que requieren interacción poco probable del usuario
• Problemas que requieran que el usuario instale software malicioso
• Vulnerabilidades teóricas sin una vía clara de explotación
• Suplantación de contenido sin impacto en la seguridad
• Falta de limitación de tasas sin impacto demostrable
• Problemas que solo afectan a navegadores o plataformas obsoletas

Reglas del Programa

Directrices de Pruebas

• Realiza pruebas solo en cuentas que posees o tengas permiso explícito para probar
• No accedas, modifiques ni elimines datos de otros usuarios
• No interrumpas nuestros servicios ni degrades su rendimiento
• Limita las pruebas automáticas para evitar interrupciones
• No divulgues públicamente vulnerabilidades antes de que sean solucionadas
• Haz un esfuerzo de buena fe para evitar violaciones de privacidad y destrucción de datos

Protección Legal y Safe Harbor

FlowHunt se compromete a:

• No emprender acciones legales contra quienes cumplan esta política
• Trabajar con los investigadores para entender y validar los problemas de seguridad
• Reconocer las contribuciones válidas a nuestra seguridad
• Mantener la confidencialidad y no compartir la identidad del investigador sin permiso

Los investigadores deben:

• Cumplir todas las leyes y regulaciones aplicables
• Acceder solo a los datos necesarios para demostrar la vulnerabilidad
• Reportar las vulnerabilidades de manera rápida y de buena fe
• No explotar las vulnerabilidades más allá de lo necesario para la demostración

Cronograma de Divulgación

• Inmediato: Informe enviado a support@flowhunt.io
• 90 días: Plazo estándar de divulgación tras el reporte inicial
• Coordinado: Divulgación pública solo después de acuerdo mutuo
• Emergencia: Vulnerabilidades críticas pueden tener plazos acelerados

Los investigadores pueden divulgar públicamente las vulnerabilidades 90 días después del reporte inicial, o después de que FlowHunt confirme que el problema ha sido resuelto, lo que ocurra primero. Fomentamos la divulgación coordinada y trabajaremos con los investigadores para acordar el momento adecuado.