Política de revelación de vulnerabilidades

El equipo de seguridad de Zoom se compromete a proteger a nuestros usuarios y sus datos. Creemos que la comunidad independiente de investigación en seguridad constituye un colaborador clave para la seguridad de Internet por lo que acogemos con satisfacción informes sobre posibles problemas de seguridad.

Esta política ofrece directrices para que los investigadores en seguridad lleven a cabo investigaciones éticas y coordinen la revelación de vulnerabilidades de seguridad a Zoom.

Hemos desarrollado esta política para reflejar nuestros valores y mantener nuestro sentido de responsabilidad hacia los investigadores en seguridad que comparten sus competencias con nosotros. Animamos a los investigadores en seguridad a que nos informen de las posibles vulnerabilidades de seguridad que hayan descubierto para que podamos solucionarlas con el fin de mantener la seguridad de nuestros usuarios.

Este programa está alojado en HackerOne y su único objetivo es la revelación coordinada de posibles vulnerabilidades de seguridad del software.

Normas del programa

  • Notifíquenos tan pronto como descubra una posible vulnerabilidad de seguridad. No intente probar su vulnerabilidad por su cuenta.
  • Utilice o acceda solamente a cuentas e información que le pertenezcan.
  • No destruya ni modifique datos que no sean suyos.
  • No deteriore el rendimiento de los productos y servicios de Zoom o de nuestros usuarios.
  • No realice ataques de ingeniería social, físicos o de denegación de servicio contra el personal, las instalaciones o los activos de Zoom.
  • Siga las directrices de revelación de HackerOne, esta Política de revelación de vulnerabilidades y todas las leyes pertinentes.

Ámbito

Esta política se aplica a los productos, servicios y sistemas de Zoom. Tenga siempre cuidado de verificar a quién pertenecen los activos que someta a prueba al realizar su investigación.

Informe acerca de problemas de Keybase a su programa exclusivo de recompensa de errores en HackerOne.

Las vulnerabilidades localizadas en los sistemas de proveedores quedan fuera del ámbito de esta política y se deben comunicar directamente al proveedor a través de sus propios programas de revelación.

Si no tiene la seguridad de que un sistema esté dentro del ámbito de investigación o necesita ayuda para comunicar un hallazgo a un proveedor, póngase en contacto con nosotros en security@zoom.us. Estaremos encantados de ayudarle.

Exclusión de responsabilidad

Cualquier actividad realizada de forma coherente con esta política se considera una conducta autorizada, por lo que no iniciaremos acciones legales contra usted. Si un tercero inicia una acción legal contra usted en relación con las actividades llevadas a cabo según esta política, tomaremos medidas para que se sepa que sus acciones se llevaron a cabo de acuerdo con esta política.

Vulnerabilidades fuera del ámbito de aplicación

  • Ataques que precisen MITM o acceso físico al dispositivo de un usuario.
  • Bibliotecas con vulnerabilidad previamente conocida sin que exista prueba de concepto operativa.
  • Clickjacking en páginas sin interacciones importantes para la confidencialidad.
  • Vulnerabilidad Cross-Site Request Forgery (CSRF) en formularios no autenticados o sin interacciones importantes para la confidencialidad.
  • Inyección de valores separados por comas (CSV) sin demostrar una vulnerabilidad.
  • Ausencia de prácticas recomendadas en la configuración de SSL/TLS.
  • Cualquier actividad que pueda conllevar la interrupción de nuestro servicio (DoS).
  • Problemas de suplantación de contenidos e inyección de texto sin mostrar un vector de ataque/sin poder modificar el HTML/CSS.
  • Problemas de limitación de velocidad o ataques de fuerza bruta en extremos sin autenticación.
  • Ausencia de prácticas recomendadas en Política de seguridad de contenidos.
  • Ausencia de marcadores seguros o HttpOnly en cookies.
  • Ausencia de buenas prácticas de correo electrónico (faltan registros SPF/DKIM/DMARC, no son válidos o están incompletos, etc.).
  • Vulnerabilidades que solo afectan a los usuarios de navegadores anticuados o desactualizados (menos de dos versiones estables por detrás de la última versión estable publicada).
  • Revelación de la versión del software/problemas de identificación de banners/mensajes o cabeceras de descripción de errores (por ejemplo, seguimientos de pila, errores de la aplicación o del servidor).
  • Las vulnerabilidades públicas de día cero que tengan una actualización oficial desde hace menos de un mes se adjudicarán caso por caso.
  • Tabnabbing.
  • Open redirect; a no ser que se pueda demostrar un impacto de seguridad adicional.

Cómo denunciar una vulnerabilidad

Aceptamos y comunicamos los posibles informes de vulnerabilidad de seguridad en HackerOne.

Acusaremos recepción de su informe en el plazo de un día laborable.

Nuestras expectativas hacia usted

Para ayudarnos a clasificar y remediar los posibles hallazgos, un buen informe de vulnerabilidad debe:

  • Describir la vulnerabilidad exactamente en el lugar en el que se haya descubierto y su impacto en el mundo real.
  • Ofrecer una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (las pruebas de concepto, las capturas de pantalla y los vídeos son útiles).
  • Incluya una vulnerabilidad por informe (a no ser que se trate de una cadena de ataques).
  • No informe de los resultados de escáneres automatizados sin pruebas de que pueda explotarse la vulnerabilidad.

Sus expectativas hacia nosotros

Cuando usted decide compartir su información de contacto con nosotros, nos comprometemos a coordinarnos con usted de la forma más abierta y rápida posible.

  • Acusaremos recepción de su informe en el plazo de un día laborable.
  • En la medida de nuestras posibilidades, le confirmaremos la existencia de la vulnerabilidad y seremos lo más transparentes posible sobre el proceso de reparación, incluso sobre los problemas o las dificultades que puedan retrasar la resolución.
  • Mantendremos un diálogo abierto para debatir aspectos problemáticos.

Aptitud

El programa de recompensa de errores de Zoom anima a las personas cualificadas a enviar informes de vulnerabilidad que detallen la identificación y explotación de errores en determinados productos y servicios «que se encuentren dentro de su ámbito de aplicación». En algunas circunstancias, Zoom puede conceder recompensas/gratificaciones monetarias al encargado de realizar la investigación en seguridad que haya presentado el informe. Aunque agradecemos todos los informes recibidos, solo aquellos investigadores que cumplan los siguientes criterios podrán recibir recompensas:

  • Usted debe ser el primer investigador que presente un informe relacionado con una vulnerabilidad específica.
  • Usted debe haber identificado la vulnerabilidad personalmente, o en su trabajo como miembro de un grupo de investigadores aptos para participar en el programa de recompensa de errores de Zoom.
  • No debe ser empleado de Zoom, sus filiales o entidades relacionadas, en la actualidad o en los últimos 12 meses.
  • Debe cumplir esta política al descubrir vulnerabilidades y al presentar un informe de vulnerabilidad.
  • No debe existir ningún motivo por el que Zoom tenga prohibido por ley ofrecerle una recompensa.

Otros términos y condiciones

Su participación en el programa de recompensa de errores de Zoom no crea ningún tipo de relación laboral o de asociación entre usted y Zoom. No puede representarse a sí mismo como empleado de Zoom o persona con algún tipo de afiliación con Zoom. Debe cumplir todas las leyes pertinentes relacionadas con su participación en este programa. Usted es responsable de cualquier impuesto aplicable relacionado con toda recompensa/gratificación que reciba. Los informes de vulnerabilidad recibidos antes del lanzamiento de este programa no son aptos para recompensas y no pueden volver a presentarse para optar a una recompensa. No puede utilizar ningún logotipo, marca comercial o marca de servicio de Zoom sin la autorización por escrito de Zoom. Zoom se reserva el derecho a modificar esta política en cualquier momento, y sin previo aviso, publicando una versión actualizada del presente documento. Zoom se reserva el derecho a finalizar este programa en cualquier momento y sin previo aviso.

Propiedad intelectual

La participación en el programa de recompensa de errores de Zoom no le otorga a usted, ni a ningún otro tercero, ningún derecho sobre la propiedad intelectual, el producto o el servicio de Zoom. Zoom se reserva expresamente todos los derechos no concedidos en esta política. Independientemente de que se conceda una recompensa por la presentación de un informe, usted cede a Zoom todos los derechos, titularidad e intereses, incluidos todos los derechos de propiedad intelectual, de todos los informes de vulnerabilidad presentados. Además, declara que tiene derecho a ceder todos los derechos, titularidad e intereses a Zoom relacionados con los informes presentados, y que su participación en el programa de recompensa de errores de Zoom no infringe ningún acuerdo que pueda tener con cualquier otro tercero, como por ejemplo su empleador.