Soporte Métodos de pago Programa de afiliados
Área de clientes

Informar una vulnerabilidad — Ayúdenos a mantener nuestros servicios seguros

Si ha identificado una posible vulnerabilidad en nuestras aplicaciones, sistemas o activos, le solicitamos que la informe enviando sus hallazgos a través del formulario de HackerOne que se encuentra a continuación. Su colaboración nos ayuda a mantener el más alto nivel de seguridad y a proteger a nuestros usuarios. ¡Gracias por su apoyo!

Antes de informar, por favor consulte la Política de Divulgación de Vulnerabilidades completa.

Tenga en cuenta que is*hosting no opera un programa público de recompensas por errores (bug bounty), ni ofrece recompensas o compensación alguna por el envío de posibles vulnerabilidades a través de este programa de divulgación.

Programa de Divulgación de Vulnerabilidades con HackerOne

En is*hosting, valoramos el esfuerzo de la comunidad de seguridad para ayudarnos a mantener los más altos estándares de seguridad en nuestros productos y servicios. Este Programa de Divulgación de Vulnerabilidades (PDV) invita a los investigadores a identificar vulnerabilidades que puedan comprometer potencialmente la integridad, disponibilidad o confidencialidad de nuestros sistemas. Estamos comprometidos a trabajar con la comunidad para resolver los problemas identificados de manera oportuna.

Política de divulgación

  • Dado que se trata de un programa privado, le solicitamos no divulgar información sobre este programa ni sobre ninguna vulnerabilidad (aunque ya haya sido resuelta) fuera del mismo, sin el consentimiento expreso de la organización.
  • Siga las pautas de divulgación de HackerOne.

Reglas del programa

En relación con su participación en este Programa, usted se compromete a cumplir con los Términos de Uso de is*hosting, la Política de Privacidad de is*hosting, así como con todas las leyes y normativas aplicables, incluidas aquellas que regulen la privacidad de los datos o el tratamiento legal de los mismos.

  • Por favor, proporcione informes detallados con pasos reproducibles, incluidos capturas de pantalla, fragmentos de código y detalles del entorno. Si el informe no es lo suficientemente detallado como para reproducir el problema, es posible que no sea marcado como evaluado.
  • Envíe una sola vulnerabilidad por informe. Si se encadenan vulnerabilidades para demostrar el impacto, explique claramente las interdependencias y el impacto general en un único informe.
  • Cuando se produzcan duplicados, solo se evaluará el primer informe recibido que pueda reproducirse completamente.
  • Las múltiples vulnerabilidades causadas por un mismo problema subyacente se consolidarán en un solo informe y se tratarán como un único envío.
  • Los ataques de ingeniería social (por ejemplo, phishing, vishing y smishing) están estrictamente prohibidos y darán lugar a la descalificación.
  • Realice un esfuerzo de buena fe para evitar violaciones de la privacidad, la destrucción de datos y la interrupción o degradación de nuestros servicios. Interactúe únicamente con cuentas que le pertenezcan o para las cuales cuente con autorización expresa de uso. El acceso no autorizado a cualquier cuenta o dato está estrictamente prohibido.
  • Utilice identificadores específicos, que incluyan su dirección de correo electrónico registrada en HackerOne "[email protected]", para ayudarnos a identificar su tráfico.
  • Los problemas de seguridad encontrados en activos de terceros que no estén bajo nuestra administración quedan fuera del alcance. Asegúrese de que el objetivo le pertenezca a is*hosting verificando el registro del dominio y los registros DNS.
  • El uso de escáneres y herramientas automatizadas (por ejemplo, Nessus, Burp Suite) está prohibido, salvo que se autorice expresamente.

Capa de sesión: encabezados HTTP

Los investigadores deberán agregar encabezados a las solicitudes, tales como:

  • "X-HackerOne-Research: [nombre de usuario de H1]"

Plan de pruebas

Para acceder a nuestros entornos de prueba, siga estos pasos:

  1. Regístrese en https://my.ishosting.com utilizando su alias de correo electrónico de HackerOne (que finaliza en @wearehackerone.com).
  2. Una vez que haya iniciado sesión con su alias de correo electrónico verificado, diríjase a https://my.ishosting.com/es-ar/hackerone.
  3. En esta página, puede solicitar una recarga automática de saldo con fines de investigación para activar los servicios que necesite para las pruebas.

Importante:

  • No modifique su alias de correo electrónico (por ejemplo, agregando "+algo"), ya que solo se aceptará el alias original (por ejemplo, [email protected]) para las solicitudes de recarga de saldo.
  • Este saldo es exclusivamente para realizar pruebas dentro del alcance del Programa de Divulgación de Vulnerabilidades (PDV).

Abuso del sistema de recompensas

Las recargas de saldo proporcionadas con fines de prueba son estrictamente para su uso dentro del alcance del Programa de Divulgación de Vulnerabilidades (PDV) y están sujetas a una supervisión rigurosa.

  • El uso indebido de los fondos asignados para fines ajenos al PDV dará lugar a la suspensión de la cuenta, la anulación del saldo y la exclusión del programa.
  • Los infractores también pueden ser reportados a HackerOne, lo que podría afectar su reputación en la plataforma.

Política de cuenta única

Se prohíbe a los participantes crear múltiples cuentas para obtener recargas de saldo adicionales u otros beneficios.

  • Si se identifican cuentas duplicadas, todas las cuentas relacionadas serán suspendidas, sus saldos revocados y el participante será descalificado del programa.
  • Se tomarán las medidas adicionales que sean necesarias, incluyendo el reporte a HackerOne.

Recursos para pruebas

Alcance

El alcance de este programa incluye todos los activos y aplicaciones relacionados con nuestra plataforma principal. Los investigadores deben asegurarse de probar diversas funciones en distintos mercados para obtener una visión integral. A continuación, se detallan los entornos y activos específicos.

Los siguientes dominios de is*hosting están dentro del alcance:

Dominios fuera del alcance:

Vulnerabilidades principales no elegibles

Al reportar posibles vulnerabilidades, tenga en cuenta (1) escenarios de ataque realistas y (2) el impacto en la seguridad del comportamiento identificado. A continuación, encontrará los falsos positivos más comunes con los que nos enfrentamos. Los siguientes problemas se considerarán como no válidos, excepto en casos excepcionales que demuestren un impacto de seguridad claro:

Puerto seguro

Cambios en los Términos del Programa

El Programa de Divulgación de Vulnerabilidades (PDV), incluidas sus políticas, está sujeto a cambios o finalización por parte de is*hosting en cualquier momento y sin previo aviso. Por lo tanto, is*hosting puede modificar estos Términos del Programa y/o sus políticas en cualquier momento mediante la publicación de una versión actualizada. Su participación continua en el programa PDV después de la publicación de dichas modificaciones constituye su aceptación de los términos del programa modificados.

Conclusión

¡Gracias por ayudar a mantener seguros a is*hosting y a nuestros usuarios!

Agradecemos las contribuciones de la comunidad de seguridad, que nos ayudan a proteger a nuestros usuarios y sistemas. Gracias por sus esfuerzos y por cumplir con esta política, contribuyendo a que nuestra plataforma sea más segura.