¿Cómo reportas un error o una vulnerabilidad de seguridad?

Si has descubierto una vulnerabilidad de seguridad, te agradecemos que nos la comuniques de forma responsable.

Trabajaremos contigo para asegurarnos de que comprendemos el alcance del problema y de que abordamos tu inquietud de forma exhaustiva. Si crees que has descubierto una vulnerabilidad o tienes un incidente de seguridad que comunicar, envía un correo electrónico a security@ifixit.com. Incluye un resumen detallado del problema que has descubierto. Asegúrate de incluir una dirección de correo electrónico en la que podamos ponernos en contacto contigo en caso de que necesitemos más información.

Actúa de buena fe con respecto a la privacidad y los datos de nuestros usuarios durante tu divulgación. Cuando pruebes vulnerabilidades, por favor, no insertes código de prueba en guías públicas populares, ya que estas guías son usadas por miles de personas a diario y perturbar su experiencia con pruebas de vulnerabilidades es perjudicial (¡por favor, siempre crea una nueva guía en su lugar!). No tomaremos medidas legales ni administrativas contra ti ni contra tu cuenta si actúas de acuerdo con lo siguiente: los investigadores de sombrero blanco siempre son bienvenidos.

Nos complace ofrecer una recompensa a los usuarios que informen de vulnerabilidades de seguridad válidas. Para poder optar al reconocimiento y a la recompensa, debes:

• Ser la primera persona en divulgar el error de forma responsable.
• Informar de un error que pueda comprometer los datos privados de nuestros usuarios, eludir las protecciones del sistema o permitir el acceso a un sistema dentro de nuestra infraestructura.

Por favor, informa de:

• Cross-Site Scripting (XSS) persistente
• Cross-Site Request Forgery (CSRF/XSRF)
• Autenticación defectuosa
• Elusión de los modelos de privacidad y permisos de nuestro marco
• Ejecución remota de código

Por favor, no informes:

• Versiones obsoletas de Wordpress sin vulnerabilidades conocidas
• Enumeración de nombres de usuario
• Auto-XSS
• Registros DNS SPF faltantes

Nuestro equipo de seguridad evaluará cada error para determinar si cumple los requisitos. Hacemos todo lo posible por responder a tus informes de manera oportuna. Nuestro objetivo es responder en un plazo de tres días hábiles, sin embargo, algunos informes requieren más tiempo de investigación que otros. Solo respondemos durante el horario laboral (de 9:00 a 17:00 PST, días laborables, excepto festivos). Los correos electrónicos repetidos NO darán lugar a una respuesta más rápida y pueden hacer que tu informe pase al final de la cola.