Programa de divulgación de vulnerabilidades

Última actualización: 21 de mayo de 2020

Introducción

La información de esta página está destinada a los investigadores de seguridad interesados en informar de forma responsable las vulnerabilidades de seguridad al equipo de seguridad de Zscaler.

La seguridad requiere transformación y no hay mejor manera de transformar un programa de seguridad que interactuar directamente con nuestros clientes y usuarios. Ese compromiso, junto con la firme creencia en la colaboración con la comunidad de seguridad, es la clave para mantener un entorno seguro para todos nuestros usuarios. Si cree que ha descubierto una vulnerabilidad de seguridad en un producto, servicio o aplicación de Zscaler, le recomendamos encarecidamente que nos informe lo antes posible. Pedimos que dichos informes de vulnerabilidad se mantengan en privado y que los investigadores no los hagan públicos hasta que hayamos resuelto el problema.

A cambio, trabajaremos para revisar los informes y responder lo antes posible. Nuestro socio de recompensas por errores, Bugcrowd, se pondrá en contacto con usted inicialmente para hacer una primera valoración de su consulta. Zscaler no buscará soluciones judiciales o de aplicación de la ley en su contra por identificar problemas de seguridad, siempre y cuando (1) cumpla con las políticas establecidas en el presente documento; (2) cumpla con los Términos de divulgación estándar de Bugcrowd; (3) no comprometa la seguridad o privacidad de nuestros usuarios; (4) no destruya ningún dato confidencial que pueda haber recopilado de Zscaler como parte de su investigación una vez que se resuelvan los problemas; y (5) acepte y cumpla con los términos de confidencialidad de Zscaler que figuran a continuación.

Confidencialidad

Al participar y/o enviar una vulnerabilidad de seguridad a Zscaler, usted acepta cumplir con las siguientes disposiciones de confidencialidad.

"Información confidencial" significa (i) toda la información de Zscaler obtenida durante las pruebas de seguridad o a través de su participación en el Programa de divulgación de vulnerabilidad de Zscaler, (ii) toda la información que se le revele en relación con el Resumen de Recompensas de Bugcrowd y (ii) todas las envíos de información que usted haga. No se le otorga ningún derecho sobre la Información confidencial o la propiedad intelectual de Zscaler al participar en ninguna prueba o participar en el Programa de divulgación de vulnerabilidad de Zscaler.

La Información confidencial no incluye información que (i) sea o se haga pública sin culpa suya y sin violar estas disposiciones, (ii) se desarrolle de forma independiente sin el uso o la referencia a la Información confidencial o (iii) sea o se convierta en conocida por usted procedente de una fuente que no esté sujeta a restricciones de confidencialidad.

Antes de realizar cualquier prueba o enviar hallazgos, usted acepta (i) mantener la Información confidencial en estricta confidencialidad, (ii) proteger dicha Información confidencial del uso o divulgación no autorizados, (iii) no divulgar dicha Información confidencial a ningún tercero, incluido el público, (iv) no utilizar dicha Información confidencial para ningún fin fuera del alcance de la participación en el Programa de divulgación de vulnerabilidades de Zscaler, y (v) notificar a Zscaler inmediatamente después de descubrir cualquier pérdida o divulgación no autorizada de la Información confidencial. Sin perjuicio de lo anterior, puede revelar Información confidencial de Zscaler a Zscaler o a Bugcrowd a través del portal de socios de Bugcrowd.

¡Gracias por su ayuda!

Alcance y reglas del programa de vulnerabilidad

En el ámbito de aplicación

Estamos principalmente interesados en conocer las siguientes categorías de vulnerabilidades:

  • Exposición de datos confidenciales: Cross Site Scripting (XSS) Stored, SQL Injection (SQLi), etc.

  • Problemas relacionados con la autenticación o la gestión de la sesión.

  • Ejecución remota de código.

  • Vulnerabilidades particularmente inteligentes o problemas únicos que no se puedan clasificar en categorías explícitas. ¡Muéstrenos lo que ha encontrado!

Fuera del ámbito de aplicación

Las siguientes categorías de vulnerabilidades se consideran fuera del alcance de nuestro programa de divulgación responsable y los investigadores deben evitarlas.

  • Denegación de servicio (DoS): ya sea por tráfico de red, agotamiento de recursos u otros

  • Enumeración de usuarios

  • Problemas que solo se presentan en navegadores antiguos/plugins antiguos/navegadores de software al final de su vida

  • Phishing o ingeniería social de empleados, usuarios o clientes de Zscaler

  • Sistemas o problemas relacionados con la tecnología de terceros utilizada por Zscaler

  • Divulgación de archivos públicos conocidos y otras divulgaciones de información que no son un riesgo importante (por ejemplo, robots.txt)

  • Cualquier ataque o vulnerabilidad que depende de que el ordenador de un usuario se vea comprometido en primer lugar

Tenga en cuenta que se espera que participe en la investigación de seguridad de manera responsable. Por ejemplo, si descubre una contraseña o clave expuesta públicamente, no debe utilizar la clave para probar la extensión de acceso que otorga o para descargar o extraer datos con el fin de demostrar que es una clave activa. Del mismo modo, si descubre una inyección SQL exitosa, se espera que no aproveche la vulnerabilidad más allá de los pasos iniciales necesarios para demostrar la validación del concepto.

La exfiltración o descarga excesiva de datos de Zscaler, o exigir un pago a cambio de la destrucción de los datos de Zscaler, se considerará fuera del alcance de este programa. Zscaler se reservará todos sus derechos, recursos y acciones para protegerse a sí mismo y a sus usuarios.

Recompensas por vulnerabilidad

Si su informe de vulnerabilidad afecta a un producto o servicio dentro del ámbito de aplicación, es posible que reciba un premio de recompensa. Si es investigador de Bugcrowd, puede reclamar y solicitar puntos de reconocimiento por el material enviado. Si le interesa ayudarnos de una manera más dedicada como investigador de seguridad en nuestro programa privado, póngase en contacto con [email protected] con su solicitud y justificante.

Zscaler se reserva el criterio exclusivo de determinar qué solicitudes son elegibles para un premio de recompensa.

Informar sobre una vulnerabilidad de seguridad

Utilice el siguiente formulario para informar de las vulnerabilidades de seguridad a Zscaler a través de nuestro portal de socios Bugcrowd. Zscaler generalmente califica la vulnerabilidad basada en la puntuación CVSS.