Introducción
Scitum tiene como misión “Crear entornos digitales seguros que contribuyan a la evolución de la sociedad”, por lo tanto, nuestra filosofía es fomentar, apoyar y compartir tanto experiencias como conocimientos, una forma de hacerlo es a través de esta política para la divulgación de vulnerabilidades.
Intención
Queremos trabajar en conjunto con los investigadores (“researchers”) cuyo interés se centre en hacer del ciberespacio un lugar más seguro, por lo que si has identificado alguna vulnerabilidad y/o brecha de seguridad en nuestra infraestructura, servicios, portales y/o aplicaciones desplegadas en Internet; y tu interés es ayudar; te invitamos a que nos compartas lo que has identificado.
Alcances
A través de esta política se atenderán los siguientes tipos de vulnerabilidades:
Ejecución remota de código
Buffer Overflow
Inyecciones SQL
Malas configuraciones que derive en exposición de posible información sensible
Crossite scripting
Insecure deserialization
XML External Entity
Sesiones Indexadas
Fallas de lógica en aplicaciones
Vulnerabilidades técnicas no conocidas (0 days)
CSRF, temas de autenticación, credenciales "hard coded"
Quedan fuera del alcance vulnerabilidades de:
Factor humano
Problemas de certificados digitales
Ataques de Ingeniería Social
Ataques de denegación de servicio
Los activos contemplados para esta política son:
Portal Scitum https://www.scitum.com.mx/
Portal Magazcitum https://www.magazcitum.com.mx/
Portal de Resources https://resources.scitum.com.mx/
Blog SCILabs https://blog.scilabs.mx/
Infraestructura de Scitum expuesta a internet
Consideraciones Legales
Al apegarte a esta política, Scitum no tomará acción legal por el descubrimiento de vulnerabilidades y/o brechas de seguridad sí, y solo sí, cumples con todos los puntos siguientes:
Conoces y estás apegado a la regulación y legislación de México
Realizas pruebas sin dañar al activo tecnológico
Presentas la información y evidencias mínimas necesarias para corroborar la vulnerabilidad
Ayudas a no revelar/publicar la vulnerabilidad/brecha de seguridad durante un tiempo razonable para permitir que Scitum trabaje en mitigarla
Mecanismos de comunicación
Puedes enviarnos tu investigación por correo de forma cifrada (ver llave pública) a vulnerability_disclousure@scitum.com.mx, deberás incluir:
Tu nombre
Tu nick/handler
Correo
Tipo de vulnerabilidad detectado
Título
Descipción ¿Cómo encontraste la vulnerabilidad?
¿Qué pasos seguiste para identificarla?
Si utilizaste alguna herramienta, por favor menciónala
Datos Adjuntos
-----BEGIN PGP PUBLIC KEY BLOCK-----
mQENBF5oc4EBCAC4OMKAp/RvE7NiYIjDiem9QsxIsJLBpO55HdGLzCYViti5xndA
Dh//8b171ac4ZWsxO4Y5L5AIaANETm51fpN3okGb0vs3FItO7glK1w5tATGzvpkQ
8Bz3Rq7whB+oPSiHGB210rHEgeeJqgAgy9HBbwaf+cEShC9kxus6SwKBGxSfKGYo
D+BaYiF/08MKg6djPWfU9bKrN6bWCcAxlXMVlQoyN5jfaR/Mf3LSjPqRmcJTCKeX
7sBuJ4l4+MnBOfl+MqGkNGe19dtlg1EEVnUuSHZRC4D8PLbKR2GAbPHIL0azpaIJ
mhYd9tMjMKMQRRQwPnpu5sZYMRsAuw8xz1MrABEBAAG0Q1Z1bG5lcmFiaWxpdHkg
RGlzY2xvdXN1cmUgPHZ1bG5lcmFiaWxpdHlfZGlzY2xvdXN1cmVAc2NpdHVtLmNv
bS5teD6JAVQEEwEIAD4WIQScr6mvWlS0+EzFdfX3Vi/BTCr8VwUCXmhzgQIbAwUJ
A8HJHwULCQgHAgYVCgkICwIEFgIDAQIeAQIXgAAKCRD3Vi/BTCr8V0u5B/9sWbKg
Lr3yyLal7AZeGWLtEMxxzTbPX27ZlnF5YQQX1ZtFUdEFwZWq8umlqQojy0Lb5uQx
N/blgNRIIXj76xF7u7GXSxTLm+jien6uAbaw8nB+13/CkDEcAUj/gkOczi5vmiT1
OyB/xZizmCx4Y9XCp6rjQVR+7JvRRL3q1WpZ8fdnAkAhB3nLXKq65EYN4S45vtTn
sVxOjQwUZ4EraEXwZWLUfqr9X8xlmIEXhVEkFYLnnaEhvp5mji1f9MnTdG9cFT3j
+BvUXxJijKZUbmPXnyZkvVWj0v4ATMa+lAHUzR99Y2Q1szjY1GkQIWyveEhOpfHP
pcpgzQbq9whDVsiCuQENBF5oc4EBCADG5d1DcCKSyhuqTQqMsgBI3NGvgCvzQekQ
Tr5Xor2MAsuj3Re9NUoyGFn6Ujxwvv9eQKKmJPZ7rjmaNZDahYfOBS/jw5ekQOyQ
0ZICQwPhpIbrt0ETtPRLb+5/1QdcH17PyOvor7n+Y03MNzvkVtfkYDKs4OsGFWDH
KPPI5eOw+degNnzean1u7NYRAEBNUNFGJtUUU7rpZTD8dEKRm1tyALu7KE1AycQn
kLYpDIImtNGyijMVINAYPCQmQVyydDf0NVTwD80QJF9OqGAv4MVq/e6kVWW29s3q
zBurv1lzittMQ4V1ZCXm9Taa7dqllAT0Y2j6pWlPf9FztaXqIXVvABEBAAGJATwE
GAEIACYWIQScr6mvWlS0+EzFdfX3Vi/BTCr8VwUCXmhzgQIbDAUJA8HJHwAKCRD3
Vi/BTCr8V9J0B/9aoFc80Zap+p1tXkGV2+8BtAGg/3WaC1AwFNz6LiHmDq4R3mVm
Npdh586sG8bQB06zJ0JDlKQtCqWkPWlA7U/yQHWWLPUd2431/U9pZI77GxwBBY0A
p659pTJcErvvFF8dXwTdN1Hp/Oj9Yf864bglzwryVm/U66SxJVkbmcbNbDO/mdf6
gRcQq9T8cmx7Tt+7zcpp35JystDzxpCDnEF3qxSNHOqwQULXRhSdvvc9Rtn0ifIA
tjRoZtMD3sDqBx/ftWQ+Bh2zhtXUOYpzctqshTLRdzfKTxfVwDcFOKacYa5mcoCM
7U76Rfno6jcWPILfXdJr7gKG2LfD+fa6KMNS
=8eBO
-----END PGP PUBLIC KEY BLOCK-----
Si has descubierto varias vulnerabilidades, reporta cada una por separado
Admitiremos reportes tanto en español como en inglés
Tratamiento y atención a los reportes recibidos
Scitum utilizará los siguientes criterios para priorizar y clasificar los reportes:
Calidad y cantidad de información que nos envíes la cual nos ayude a entender mejor, por ejemplo: puedes incluir el código de prueba que utilizaste al momento de identificar la vulnerabilidad, se tomará en cuenta la redacción y presentación del reporte.
Riesgo percibido de los hallazgos documentados
Antigüedad de los hallazgos
Nos comprometemos a:
Investigar todos los reportes que se reciban, Scitum responderá en un periodo máximo de 72 horas e indicará el tiempo que tardará en analizar y verificar la vulnerabilidad
Contactar al investigador(researcher) para comentar sobre los hallazgos
Notificar cuando hayamos concluido el análisis de la vulnerabilidad
Dar crédito a tu trabajo
Al final, buscaremos publicar las investigaciones en conjunto (con tu previo consentimiento) teniendo el cuidado de que la vulnerabilidad ha sido mitigada y así no poner en riesgo ningún activo. Si es tu decisión hacer la publicación de forma directa, requeriremos tu compromiso para evitar publicar dicha vulnerabilidad durante el periodo de investigación de esta.
Versión
Este documento fue creado en enero de 2020, y será actualizando al menos cada 90 días.