Por favor lee cuidadosamente nuestra política, ya que aclara qué tipo de problemas de seguridad podemos recompensar. Solo los informes enviados a través de nuestro formulario de contacto (accesible mediante el botón en la parte inferior de esta página) podrán ser considerados para recibir recompensa.
En Doist, nuestro programa de recompensas por errores es un componente fundamental de nuestros esfuerzos de seguridad. Si has encontrado un problema de seguridad del que crees que deberíamos estar al tanto, nos encantaría trabajar contigo. Tus esfuerzos podrían dar lugar a una recompensa monetaria.
Elegibilidad
- Debes ser la primera persona en informar el problema para poder optar por una recompensa.
- Debes estar disponible para proporcionar información adicional, a medida que nuestro equipo la vaya necesitando, para reproducir y abordar el problema.
Reglas del programa
- Sigue las pautas de divulgación de HackerOne.
- Elimina los datos o las cuentas de prueba que hayas creado como parte de la investigación.
- No ataques a ni interactúes con los usuarios finales.
- No te involucres con datos de usuario robados, incluyendo datos de ingreso.
- No utilices análisis ni pruebas automatizados, incluyendo ataques de denegación de servicio.
- No utilice ataques de ingeniería social, como suplantación de identidad (phishing).
- No te involucres en pruebas físicas de los empleados de Doist ni de su equipamiento.
Objetivos elegibles
- www.todoist.com
- app.todoist.com
- www.twist.com
- Versiones actuales de Todoist y Twist para Windows, macOS, Linux, iOS y Android
- Para hacer pruebas, por favor usa todoistbounty@protonmail.com como cuenta de la víctima.
Cómo enviar tu informe
- Proporciona un informe detallado que incluya pasos claramente reproducibles, el impacto en nuestros productos y/o nuestros usuarios, además de cualquier cuenta de prueba que hayas utilizado junto con los datos de prueba correspondientes.
- Asegúrate de informar vulnerabilidades independientes en tickets diferentes.
- Asegúrate de ponerle a tu informe un título claro que describa la vulnerabilidad.
- Tu informe debe incluir instrucciones (por escrito) que nos permitan reproducir la vulnerabilidad. Cualquier informe que no contenga pasos de reproducción claros o que incluya solo un video de prueba de concepto puede no ser elegible para una recompensa.
Recompensas
Reúnes los requisitos para recibir una recompensa monetaria si:- Eres la primera persona en informarnos de una vulnerabilidad de producto
- Nuestro equipo considera que la vulnerabilidad es un problema de seguridad válido.
- Has cumplido con todas las Reglas del programa
Nuestro equipo evaluará cada informe y asignará un nivel de gravedad que determine el monto de la recompensa monetaria que se recibirá. Los niveles de gravedad se deciden internamente en función del tipo de vulnerabilidad y el impacto potencial. A continuación, podrás encontrar un resumen de ejemplos para cada nivel de gravedad:
- Problemas no relacionados con la seguridad, como códigos de respuesta HTTP que no son 200, errores de la aplicación o el servidor, etc.
- Problemas sin impacto de seguridad claro, como CSRF desconectado, encabezados de seguridad HTTP faltantes, problemas de SSL, problemas de política de contraseñas o secuestro de clics en páginas sin acciones confidenciales.
- Problemas que afectan aplicaciones o componentes obsoletos, que ya no se utilizan o no reciben mantenimiento
- Problemas que afectan a terceros, como aplicaciones o servicios de terceros que utilizamos (por ej., Firebase, ZenDesk)
- Problemas relacionados con técnicas de spam o ingeniería social, como SPF y DKIM, y falta de DNSSEC.
- Problemas relacionados con divulgación de información del servidor, tal como encabezados de respuesta `X-Powered-by` y `Server`. Pueden existir excepciones siempre que la información divulgada contenga una versión de servidor con una divulgación de CVE asociada.
- Problemas relacionados con la falsificación de solicitudes del lado del servidor (SSRF) en servicios que realizan solicitudes activas por diseño, a menos que se demuestre que se puede filtrar información confidencial.
- Errores que requieren una interacción del usuario extremadamente improbable (por ejemplo, toma de control de la cuenta mediante inicio de sesión SSO).
- Informes que requieren acceso privilegiado a los dispositivos del objetivo o que están fuera de nuestro control. Estos incluyen, entre otros, el acceso a las cookies del navegador y/u otros tokens utilizados para hacerse pasar por el usuario, el acceso al email del usuario, etc.
- Problemas de secuestro de clics (clickjacking) que ocurren en páginas previamente autenticadas o la falta de `X-Frame-Options`. O bien, cualquier otro problema de clickjacking no explotable.
- Problemas de Cross-OriginResourceSharing (CORS), donde el servidor NO responde con el encabezado `Access-Control-Allow-Credentials: true`.
- Ausencia de límites de velocidad, a menos de que esto pueda dar lugar a una vulnerabilidad explotable.
- Enumeración del email del usuario en las páginas de registro, inicio de sesión y contraseña olvidada.
- Archivos disponibles en URIs con una ruta que comienza con `/.well-known` (también llamadaswell-known URIs).
- Omisión de la 2FA mediante el restablecimiento de contraseña
- Específico para aplicaciones cliente
- Datos de usuario almacenados sin cifrar
- Falta de ofuscación
- Exploits de piratería en tiempo de ejecución que implican la manipulación del código en ejecución o su entorno
- Abrir redirecciones
- Error de configuración del servidor o errores de aprovisionamiento
- Fugas o divulgación de información excluyendo datos confidenciales de usuarios
- Problemas de Cross-OriginResourceSharing (CORS), donde el servidor responde con el encabezado `Access-Control-Allow-Credentials: true` a una solicitud con el encabezado `Origin` de terceros (es decir, no `*.todoist.com`, `*.twist. com`).
- XSS reflejado
- Problemas de contenido mixto, si la URL de destino no responde con el header 'Strict-Transport-Security' (es decir, HSTS). El riesgo aún existe, pero se limita a una sola interacción por dominio/subdominio (según el valor de HSTS). Los navegadores de 2021 han estado haciendo la transición a un valor predeterminado de HTTPS, mitigando aún más este problema.
- Otros problemas de gravedad baja
- CSRF / XSRF
- SSRF a un servicio interno
- XSS almacenado
- Otros problemas de gravedad media
- Fugas o divulgación de información, incluyendo datos confidenciales de usuarios
- Otros problemas de gravedad alta
- Inyección SQL
- Ejecución remota de código
- Escalada de privilegios
- Autenticación averiada
- SSRF a un servicio interno, lo que supone un riesgo de seguridad crítico
- Otros problemas de gravedad crítica
App | Ninguno | Bajo | Medio | Alto | Crítico |
---|---|---|---|---|---|
Todoist | USD $0 | USD $100 | USD $200 | USD $500 | USD $1000 |
Twist | USD $0 | USD $50 | USD $100 | USD $250 | USD $500 |
Las vulnerabilidades en nuestra(s) aplicación(es) móvil(es) para Android pueden calificar para una recompensa adicional a través del Programa de recompensas de seguridad de Google Play.
Todas las recompensas se pagan a través de PayPal.
El equipo de Doist se reserva el derecho de determinar si la vulnerabilidad enviada es elegible.
Las decisiones que tome el equipo del programa de recompensas de errores de Doist respecto al monto de una recompensa son inapelables.