La seguridad es fundamental para mantener Snipp seguro para todos, y contamos con los investigadores para ayudarnos a encontrar y corregir vulnerabilidades rápidamente. Si has descubierto un problema de seguridad, queremos saberlo. Agradecemos cada divulgación responsable, ¡feliz cacería!
Nunca emprenderemos acciones legales contra quienes reporten vulnerabilidades de buena fe y sigan las directrices de esta página.
Nuestro objetivo es confirmar cada reporte en un plazo de 48 horas y te mantendremos informado durante todo el proceso de resolución.
Según la gravedad y el impacto de tu hallazgo, podrías ser elegible para una insignia de perfil exclusiva y meses gratuitos de nuestra suscripción PLUS.
Los investigadores que hagan contribuciones significativas a la seguridad de Snipp pueden ganar insignias de perfil que se muestran públicamente en su cuenta.
Se otorga por tu primer informe válido de vulnerabilidad. Reconoce a los investigadores que ayudan a hacer Snipp más seguro.
Se otorga tras 3-5 informes excepcionales o un único hallazgo crítico. Reservada para investigadores activos que descubren los problemas de mayor impacto.
Todas las pruebas deben realizarse en tus propias cuentas. Nunca interactúes con los datos o las cuentas de otros usuarios ni los afectes.
Solo los servicios operados por Snipp están dentro del alcance. No se aceptarán informes dirigidos a plataformas de terceros, incluso aquellas integradas a través de nuestra API.
Evita cualquier actividad que pueda degradar nuestros servicios o comprometer la integridad de los datos; esto incluye ataques de fuerza bruta, DoS, spam y ataques basados en tiempo.
No se permiten herramientas de escaneo automatizadas. Todas las pruebas deben realizarse manualmente.
Es posible que excluyamos temporalmente ciertas clases de vulnerabilidades del alcance mientras las abordamos internamente. Cualquier cambio se reflejará en esta página.
Por favor, mantén todos los hallazgos confidenciales hasta que hayamos investigado y resuelto el problema por completo.
La divulgación responsable es la mejor manera de ayudarnos a solucionar los problemas rápidamente minimizando el riesgo. Cuando nos lo reportas directamente, podemos empezar a trabajar en una solución de inmediato sin exponer la vulnerabilidad a actores maliciosos.
Los hallazgos que se comparten públicamente antes de que hayamos tenido la oportunidad de abordarlos, ya sea en redes sociales, foros o cualquier otro lugar, no serán elegibles para el reconocimiento con insignia. Queremos dar crédito a quienes nos dan la oportunidad de arreglar las cosas primero.
Si varias personas reportan el mismo problema, evaluaremos los envíos según:
Claridad de la explicación técnica
Qué tan bien el informe transmite el impacto en el mundo real
Marca de tiempo del envío
Apreciamos sinceramente a cada investigador que dedica su tiempo a ayudar a hacer Snipp más seguro.
Antes de enviar, piensa si el problema tiene un escenario de ataque realista y un impacto de seguridad significativo. Lo siguiente queda generalmente excluido:
Enumeración de cuentas
Ataques que requieren MITM o acceso físico al dispositivo de un usuario
Clickjacking
Suplantación de contenido e inyección de texto
Vulnerabilidades CSRF
Registros SPF, DKIM y DMARC del correo electrónico
Falta de los indicadores de cookie HttpOnly/Secure
Cabeceras CORS abiertas
Limitación de tasa
Informes de escáneres y herramientas automatizadas
Autoexplotación (como la reutilización de tokens y los scripts de consola)
Ataques de ingeniería social o phishing dirigidos a usuarios o personal
Los servicios externos, los socios y las integraciones quedan fuera del alcance de este programa. Solo se admiten vulnerabilidades en las funciones y API propiedad de Snipp. Los informes deben mostrar un impacto de seguridad claro para Snipp.
Cualquier escenario en el que un atacante pueda obtener las claves de API, los tokens de sesión o las credenciales de otro usuario sin recurrir a la ingeniería social se considera dentro del alcance.
Los fallos reproducibles del sitio web causados por entradas manipuladas o por la interacción normal del usuario se consideran dentro del alcance, siempre que no dependan del agotamiento de recursos, el spam u otras técnicas de denegación de servicio.
Los informes que dependen de explotar una condición de carrera necesitan pruebas adicionales para ser aceptados. Incluye al menos uno de los siguientes elementos:
Un script reproducible (preferiblemente Python o JavaScript, aunque otros lenguajes están bien)
Una explicación detallada que cubra los métodos HTTP, los endpoints y el orden exacto de las solicitudes necesario para desencadenar la condición
Incluir un script nos facilita mucho verificar el problema y agiliza el proceso de revisión.
Envíanos un correo electrónico con una descripción clara del problema, los pasos para reproducirlo y cualquier prueba de apoyo. Te responderemos lo antes posible.