Incluye tanta información como sea posible, porque eso nos ayudará a reproducir el problema y solucionarlo. Lo ideal sería tener una descripción de lo que has descubierto, con direcciones IP, registros, capturas de pantalla, etc.
Por favor, incluye tus datos de contacto (número de teléfono o dirección de correo electrónico), para que podamos ponernos en contacto si necesitamos saber más.
Otros puntos importantes
No le digas a nadie lo que has encontrado.
Destruye cualquier dato con el que hayas tropezado.
No profundices en nuestros sistemas más de lo necesario para demostrar que hay un problema.
No abuses de una vulnerabilidad que hayas descubierto. Si lo haces, informaremos a la policía.
Lo que no debes denunciar:
Ingeniería Social.
Agotamiento de recursos / Denegación de servicio (distribuido).
Pruebas de Acceso Físico
Situaciones que no se pueden reproducir;Exploits que no se validan con una segunda herramienta/método, es decir, resultado erróneo en la herramienta A, resultado correcto en la herramienta B
Problemas a nivel estético, es decir, esto no se ve bien en el navegador A (puedes escribirnos a contact@gobase.net)
Situaciones en las que el problema radica en el nivel de usuario (conciencia), es decir, puede explotarse cuando el lugar de trabajo queda desprotegido, combinaciones de clics o pulsaciones de teclas.
Huellas digitales simples o listados de versiones en SO, servicios o puertos.
Notificación de archivos disponibles públicamente que contengan información pública
Falta la bandera de sólo seguro/HTTP en las cookies que sólo contienen información pública
Mala configuración de TLS sin una prueba de concepto para explotar la debilidad
Registros SPF, DKIM o DMARC incompletos o ausentes
Servicios que se ejecutan en proveedores de servicios de terceros (verifica previamente su declaración de divulgación responsable)
Direcciones de correo electrónico encontradas en una filtración de datos de terceros
Vulnerabilidades divulgadas públicamente, parcheadas en las últimas 2 semanas
Redireccionamiento de URL (a una página web válida).
Problemas conocidos
También hay problemas de los que ya somos conscientes y en los que estamos trabajando o que reconocemos como riesgos aceptados. Estos problemas no se mencionan en el sitio web. Nuestro equipo de soporte es consciente de ellos y los denunciará. En consecuencia, el problema no se tratará.
Qué haremos
Te enviaremos un correo electrónico en el plazo de un día laborable, confirmando la recepción de tu informe.
En un plazo de cinco días laborables, responderemos al contenido de tu informe y te diremos cuándo se resolverá el problema. Los puntos débiles se solucionan lo antes posible y, desde luego, en un plazo de tres meses.
Te mantendremos informado sobre los avances en la solución del problema.
Con tu ayuda, decidiremos si la información sobre el problema debe publicarse. Te nombraremos como la persona que descubrió el problema sólo si así lo deseas.
