Cool Tabs - Publicación responsable de vulnerabilidades

En Cool Tabs, la seguridad de nuestros usuarios es una prioridad absoluta. Estamos comprometidos en garantizar su protección y privacidad.

Esta política de divulgación de vulnerabilidades, que debe ser leída en el contexto de los Términos y condiciones de Cool Tabs, está dirigida a investigadores de seguridad, interesados en informar a Cool Tabs de vulnerabilidades de seguridad, y tiene como objetivo brindar pautas sobre cómo informar de manera responsable las vulnerabilidades a Cool Tabs.

Si crees haber descubierto una vulnerabilidad, que pueda poner en peligro la confidencialidad, integridad o disponibilidad en un sitio o aplicación de Cool Tabs y de la información tratada en ellos, te rogamos encarecidamente que nos informes tan rápidamente como sea posible y no reveles públicamente la vulnerabilidad hasta que esté corregida.

Para incentivar la revelación responsable, Cool Tabs no emprenderá acciones legales en relación con sus actividades de detección de vulnerabilidades en nuestros sistemas, siempre y cuando siga las directrices de esta política.

Directrices de revelación responsable

Notificar a Cool Tabs y proporcionarnos los detalles de la vulnerabilidad. Por favor danos un tiempo razonable para solventar el problema antes de revelarlo públicamente.
Proporcionar un nivel de detalle apropiado acerca de la vulnerabilidad para permitirnos identificar y reproducir el problema. Los detalles deben incluir los URLs objetivo, pares petición/respuesta, capturas de pantalla y/o otras informaciones.
Confirmaremos tu e-mail y evaluaremos la validez y reproducibilidad del problema. Para problemas válidos, trabajaremos para corregirlos y te mantendremos informado del avance del trabajo.
Hacer un esfuerzo razonable para evitar disrupciones en el servicio (e.g. DoS), violaciones privacidad (por ejemplo acceder a los datos de los usuarios de Cool Tabs), y destrucción de datos durante la investigación de vulnerabilidades.
No solicitar compensación por los informes de vulnerabilidades de seguridad, ni a Cool Tabs ni a mercados externos de vulnerabilidades.
No utilizar 'phishing' ni ingeniería social contra empleados, colaboradores, o usuarios de Cool Tabs.
No ejecutar herramientas de exploración ('scanning') automáticas y enviarnos sus resultados sin confirmar que el problema está presente. Las herramientas de seguridad dan con frecuencia falsos positivos que deben ser confirmados por el informante.

Categorías de vulnerabilidades que alentamos

Estamos interesados principalmente en saber sobre las siguientes categorías de vulnerabilidades:

Cross Site Scripting (XSS)
Cross Site Request Forgery (CSRF)
Inyecciones de SQL (SQLi)
Problemas relacionados con la autenticación
Problemas relacionados con la autorización
Exposición de datos
Ataques de redirección
Ejecución remota de código
Vulnerabilidades particularmente inteligentes o problemas únicos que no caen en categorías explicitas

Categorías de vulnerabilidades fuera de ámbito

Las siguientes categorías de vulnerabilidades se considera fuera del ámbito de nuestro programa de revelación responsable y no merecen crédito en nuestra lista de investigadores:

Configuraciones DNS de registros DMARC, SPF.
Vulnerabilidades SSL relacionadas con la configuración o la versión
Denegación de servicio (DoS)
Enumeración de usuarios
Fuerza bruta
Falta de la marca 'secure' en cookies no sensibles
Falta de la marca 'HTTPOnly' en cookies no sensibles
Logout Cross Site Request Forgery (CSRF)
Problemas presentes solo en navegadores o extensiones antiguos
Método HTTP TRACE habilitado
Informes de vulnerabilidades relacionados con la información sobre números de versión de servidores web, servicios, o frameworks
'Clickjacking' en páginas sin autenticación y/o cambios de estado sensibles
Vulnerabilidades que requieren mucha cooperación por parte del usuario para realizar acciones improbables o ilógicas que serían más sintomáticas de un ataque de ingeniería social o de 'phishing' que de no una vulnerabilidad de la aplicación (por ejemplo desactivar funciones de seguridad del navegador, enviar al atacante información crítica para completar el ataque, guiar al usuario a un proceso particular y requerirle que introduzca código malicioso él mismo, etc.).

Cómo reportar una vulnerabilidad de seguridad

Por favor envia e-mail a help@cool-tabs.com para reportar vulnerabilidades de seguridad a Cool Tabs. Si crees que el e-mail debe estar encriptado, nuestra clave PGP está disponible aquí: