Política de divulgación responsable

image

Política de divulgación responsable

La información, los datos y sus procesos de protección, así como las redes y los sistemas informativos, son cruciales tanto para el negocio de Bühler como para nuestros clientes y otros socios comerciales. Poder preservar la confidencialidad, la integridad y la disponibilidad de información valiosa es un aspecto crucial a la hora de valorar la confianza que nuestros clientes y socios comerciales depositan en nosotros. Si ha detectado algún problema o vulnerabilidad de seguridad, estaremos encantados de que nos lo notifique. El siguiente documento describe el marco en base al cual Bühler define dicha notificación y divulgación responsable.

+

Informes

En caso de que disponga de informes, deberá dirigirlos al equipo encargado de la seguridad de la información de Bühler a través de security[at]buhlergroup.com.

Cuando notifique deficiencias de seguridad, incluya la siguiente información:

  • Tipo de vulnerabilidad.
  • Descripción detallada de la vulnerabilidad y de los activos/elementos afectados.
  • Una descripción clara de por qué cree que se trata de un problema o vulnerabilidad de seguridad.
  • Otra información de utilidad, como los pasos para reproducir el problema, capturas de pantalla, secuencias de prueba de concepto o datos similares.

Directivas

Con el fin de fomentar la divulgación responsable, les pedimos a todos los investigadores que actúen conforme a las siguientes directivas generales:
 

  • Bühler dispone de tiempo suficiente (mín. 60 días) para verificar un informe y realizar las correcciones necesarias. No divulgue ninguna información a terceros o al público sin nuestro consentimiento durante ese periodo de tiempo.
  • Las actividades de comprobación que se pretendan realizar no deberán afectar a los servicios o los productos de Bühler. No lleve a cabo pruebas/ataques de "denegación de servicio".
  • No obtenga, modifique o destruya cualquier información potencialmente delicada cuando una vulnerabilidad identificada se lo permita.
  • No proporcione informes de escáneres automatizados sin una verificación manual de la vulnerabilidad.
     

Si respeta estas directivas, nos comprometemos a:
 

  • No emprender acciones legales en relación con su investigación.
  • Colaborar con usted para comprender y remediar el problema con rapidez, lo que incluye una confirmación inicial de su informe dentro de los 5 días siguientes a su presentación.
  • Considerar recompensarle en función del nivel de gravedad del hallazgo y del tipo de información/sistema/servicio afectado, pero solo en caso de que el descubrimiento esté dentro del ámbito de aplicación de esta política y, si así lo desea, le incluiremos en nuestro "salón de la fama" disponible más abajo. Esto solo se aplicará si ha sido el primero en notificarnos el problema y nosotros aún no teníamos constancia de él.

Ámbito de aplicación

Vulnerabilidades dentro del ámbito de aplicación

Cualquier problema que afecte a la confidencialidad o a la integridad de la información de forma considerable (de extremo a extremo) es probable que esté dentro del ámbito de aplicación. Por ejemplo:

  • Secuencias de comandos en sitios cruzados (XSS)
  • Falsificación de petición en sitios cruzados (CSRF)
  • Fallos de autenticación o autorización
  • Inyección SQL (SQLI)
  • Ejecución remota de código (RCE)
  • Inclusiones locales o remotas de archivos

 

Vulnerabilidades fuera del ámbito de aplicación

Las siguientes vulnerabilidades están fuera del ámbito de aplicación y por lo tanto su detección no se recompensará:

  • Paradas provocadas por ataques de "denegación de servicio".
  • Errores que no afecten a la confidencialidad, la integridad o la disponibilidad de la información o de los activos/servicios relacionados o que no supongan un riesgo de seguridad directo.
  • Filtración de información no crítica.
  • Registros DNS, como los SPF, MARC o DKIM.
  • Falsificación de petición en sitios cruzados mediante un cierre de sesión.
  • Problemas relacionados con los certificados TLS/SSL, como códigos débiles o protocolos desactualizados.
  • Problemas que solo se puedan provocar mediante "clickjacking".
  • Vulnerabilidades que requieran que la víctima instale un software no estándar o que siga activamente una serie de pasos que la vuelvan vulnerable.
  • Vulnerabilidades que incluyan/requieran aplicar la ingeniería social a nuestros trabajadores o clientes.
  • Ataques que requieran acceder físicamente a un equipo o sistema.
  • Cadenas de ataques hipotéticos en donde solamente la combinación de una vulnerabilidad identificada y una situación supuesta/hipotética podrían hacer que se diese un problema de seguridad.
  • Ausencia de identificadores de cookies en cookies no sensibles.
  • Ausencia de cabeceras http de seguridad que no provoque directamente una vulnerabilidad.
  • Presencia de mensaje emergente o de información de versión a menos que se correlacione con una versión vulnerable.

Salón de la fama

The following people have reported valid security issues and helped us make Bühler more secure.
 

Credits Date Description

Shashank Sawant

May 2022

Reported valid vulnerabilities in two web applications.

Huzefa Surme

January 2022

Reported a valid vulnerability in a web application.

Rushabh Vyas

January 2022

Reported a valid vulnerability in a web application.

Ravindra Dagale

October 2021

Reported a vulnerable, outdated component in a web application.

Yunus Yildirim

October 2021

Reported a valid vulnerability in a web application.

Mohammed Eldawody

August 2021

Reported four valid findings with well documented explanations.