Política de divulgación responsable de Mimecast
Mimecast considera que la protección de los datos de los clientes es una responsabilidad de gran importancia y le otorga la máxima prioridad, ya que queremos ofrecer a nuestros clientes una experiencia excepcional en cada etapa de su recorrido. Por ello, nos tomamos muy en serio la seguridad de nuestros sistemas y valoramos sinceramente la colaboración de los investigadores en materia de seguridad y de otros miembros de la comunidad de seguridad para ayudarnos a mantener la seguridad de nuestros sistemas. Juntos podemos mejorar las cosas y encontrar formas de superar los retos. Mimecast tiene en cuenta los puntos de vista de los demás con el fin de desarrollar la resiliencia cibernética. La notificación responsable de las vulnerabilidades de seguridad nos ayuda a garantizar la seguridad y la privacidad de todos nuestros usuarios. Si descubre alguna vulnerabilidad, le agradeceríamos que se pusiera en contacto con nosotros de acuerdo con la presente Política, para que podamos resolver el problema lo antes posible. Juntos podemos alcanzar nuestros objetivos gracias a la colaboración, la comunicación y la responsabilidad.
Directrices para la divulgación responsable
- Realice investigaciones únicamente dentro del «ámbito de aplicación» establecido en la presente Política;
- «Los clientes de Mimecast deben abrir un caso para cualquier incidencia que no esté relacionada con la seguridad».
- Para ayudarnos a comprender la naturaleza y el alcance de la posible vulnerabilidad, visite https://bugcrowd.com/3905fe58-e58e-491d-87dc-a8a9264eb662/external/report y rellene el formulario con toda la información posible. Cuando haya terminado, haga clic en «Informar de una vulnerabilidad» para enviar su informe a Mimecast;
- Mantenga la confidencialidad de la información relativa a cualquier vulnerabilidad que haya descubierto, limitándola a usted y a Mimecast, hasta que hayamos dispuesto de al menos 90 días para examinar y resolver el problema. Es importante señalar que el plazo que tardamos en examinar y resolver un problema puede variar en función de diversos factores, entre los que se incluyen la complejidad de la vulnerabilidad y el riesgo que esta pueda suponer, entre otros;
- Mantenga abiertos los canales de comunicación para facilitar una colaboración eficaz;
- Haga todo lo posible por evitar las violaciones de la privacidad, el deterioro de la experiencia del usuario, las interrupciones en los sistemas de producción y la destrucción de datos durante las pruebas de seguridad.
Qué puede esperar de nosotros:
- Colaboraremos con usted para comprender y resolver el problema, con el fin de reforzar la protección de nuestros clientes y sistemas;
- Si sigue las directrices que se indican más arriba, no emprenderemos ni respaldaremos ninguna acción legal relacionada con su investigación;
- Nos esforzaremos por responder a su notificación en un plazo de 3 días laborables a partir de su envío.
Ámbito de aplicación
- https://www.mimecast.com
- Servidores MTA de Mimecast
- Servidores POP de Mimecast
- Servicio Mimecast Large File Send (LFS)
- Servicio Mimecast Secure Messaging (SM)
- Utilidad de auditoría unificada de Mimecast
- Consola de administración de Mimecast
- Portal personal de Mimecast
- Mimecast Service Monitor
- API de Mimecast
- Mimecast Web Security
- Mimecast DMARC Analyzer
- Mimecast Brand Exploit Protect
- Aplicaciones móviles para Android e iOS
- https://blog.mimecast.com
Fuera del ámbito de aplicación
Quedan excluidos del ámbito de aplicación todos los servicios prestados por terceros. Entre estos servicios se incluyen:
- Base de conocimientos de Mimecast (kb.mimecast.com);
- Mimecast Academy (academy.mimecast.com);
- https://community.mimecast.com;
- y cualquier otro aspecto que no se haya mencionado explícitamente en la sección «Ámbito de aplicación» anterior.
En aras de la seguridad de nuestros clientes, de nuestro personal, de Internet en general y también de usted como investigador de seguridad, quedan excluidos del ámbito de aplicación los siguientes tipos de pruebas:
- Cualquier intento de modificar o destruir datos;
- Resultados obtenidos principalmente mediante ingeniería social (p. ej., phishing);
- Hallazgos procedentes de aplicaciones o sistemas que no figuran en la sección «Ámbito de aplicación»;
- Vulnerabilidades de denegación de servicio (DoS/DDoS) a nivel de red o cualquier otro intento de interrumpir o mermar los servicios que ofrece Mimecast, incluida la afectación a la capacidad de los usuarios finales para utilizar el servicio;
- Cualquier intento de acceder a la cuenta o a los datos de un usuario;
- Y cualquier cosa que no esté permitida por la legislación aplicable...
Vulnerabilidades que cumplen los requisitos
¿Qué es una «vulnerabilidad que cumple los requisitos»?Vulnerabilidades de aplicaciones web, tales como XSS, XXE, CSRF, SQLi, inclusión de archivos locales o remotos, problemas de autenticación, ejecución remota de código, problemas de autorización, escalada de privilegios y «clickjacking». La vulnerabilidad debe encontrarse en uno de los servicios mencionados en la sección «Ámbito de aplicación» anterior. Debe ser usted el primer investigador en comunicar de forma responsable la vulnerabilidad y debe seguir las directrices de comunicación responsable establecidas en la presente Política, lo que incluye concedernos un plazo razonable para solucionar la vulnerabilidad. Una vez que le hayamos comunicado la vulnerabilidad, acordaremos con usted un plazo razonable.
¿Qué no se considera una «vulnerabilidad que cumple los requisitos»?Aunque cada notificación se evaluará caso por caso, a continuación se incluye una lista de algunos de los aspectos que no se consideran vulnerabilidades de seguridad:
- Errores en la interfaz de usuario (UI) y la experiencia de usuario (UX), así como errores ortográficos;
- Problemas relacionados con TLS/SSL;
- Configuraciones de SPF, DMARC y DKIM;
- Vulnerabilidades debidas a navegadores o complementos obsoletos;
- Políticas de seguridad de contenidos (CSP);
- Vulnerabilidades en productos al final de su vida útil;
- Ausencia de indicadores en las galletas;
- Enumeración de nombres de usuario;
- Vulnerabilidades que dependen de la existencia de complementos como Flash;
- Vulnerabilidades que afectan a los usuarios de navegadores y complementos obsoletos;
- Faltan encabezados de seguridad como, entre otros: ", content-type-options", ", X-XSS-Protection";
- Falta de CAPTCHAs como mecanismo de protección de seguridad;
- Problemas relacionados con una aplicación maliciosa instalada en el dispositivo;
- Vulnerabilidades que requieren un dispositivo con jailbreak;
- Vulnerabilidades que requieren acceso físico a los dispositivos móviles;
- El uso de una biblioteca cuya vulnerabilidad se conoce, sin que se haya demostrado que sea explotable; y/o
- Ataques de «tap-jacking» y de «UI-redressing», que consisten en engañar al usuario para que pulse un elemento de la interfaz de usuario;
Funciones de bloqueo de cuentas o de limitación de frecuencia; - Funciones de bloqueo de cuenta o de limitación de frecuencia;
- Claves de API expuestas en las páginas (p. ej., (Google Maps), a menos que se pueda demostrar que dicha clave realiza una operación con privilegios;
- «Divulgación del código fuente» de los archivos JavaScript, salvo que se pueda demostrar que dicho archivo es privado;
- «Fuga de información del origen entre dominios», salvo que la cadena del origen contenga información privilegiada o privada;
- Ataques de apropiación de subdominios sin pruebas; un falso positivo habitual es smartlinggdn.mimecast.com;
- Inyecciones en el encabezado del servidor cuando es necesario realizar un ataque de tipo «man-in-the-middle» (MITM) para aprovecharlas o cuando el valor del encabezado no se refleja en la página ni se utiliza en la aplicación;
- Falta de atributos de seguridad en los elementos HTML (por ejemplo: la configuración de autocompletado en los campos de texto);
- La posibilidad de incrustar una página en un iFrame o de realizar «clickjacking»;
- Inyección de HTML sin ningún impacto en la seguridad;
- Ataques CSRF que no tengan ningún impacto o que no traspasen los límites de privilegios;
- Cualquier fuga de información o credenciales de terceros que no esté bajo el control de Mimecast (por ejemplo, Google, Bing, GitHub, Pastebin, etc.);
- Por regla general, no se aceptan vulnerabilidades de terceros para las que aún no se haya publicado ningún aviso;
- Vulnerabilidades que se han dado a conocer recientemente (hace menos de 30 días);
- Vulnerabilidades que ya se han notificado o cuya corrección está en curso.
- Cualquier producto de Mimecast que contenga enlaces sensibles en correos electrónicos y que acaben en servicios de terceros tras haber sido revelados, directa o indirectamente, a raíz de las interacciones de los clientes.
El «Muro de la Fama» de los investigadores de seguridad de Mimecast
Desde Mimecast deseamos expresar públicamente nuestro más sincero agradecimiento a los siguientes investigadores de seguridad por haber revelado de forma responsable las vulnerabilidades y por haber colaborado con nosotros para subsanarlas. Mimecast valora enormemente su extraordinario esfuerzo.
2015
- Pradeep Kumar - facebook.com/pradeepch99
- Sumit Jain - facebook.com/sumit.cfe
- Jay Patel - facebook.com/jaypatel9717
- Deepak Das - facebook.com/deepak.das.581525
- Shivam Kumar Agarwal - facebook.com/shivamkumar.agarwal.9
- Naveen Sihag - twitter.com/itsnaveensihag
- Rafael Pablos
- Junting Zhu
2016
J. Vogel
Matías P. Brutti
Mike Brown - twitter.com/m8r0wn
Stephen Tomkinson (Simulación de phishing «Piranha» de NCC Group)
2017
Will Pearce & Nick Landers (Silent Break Security)
Dipu Hasan
Paul Price (Schillings Partners)
Terry Conway (CisCom Solutions)
2018
- Abdul Mateen
- Pritam Singh
- John Lee (City Business Solutions UK Ltd)
- Jeroen W
2019
- Charlie Smith - twitter.com/moopinger
- Patrick Sukop - twitter.com/iKnadt
- Abdelhak Kharroubi
- Francesco Lacerenza - linkedin.com/in/francesco-lacerenza/
- Raphaël (Access42 B.V.)
- Rotimi Akinyele - linkedin.com/in/nigerianpenetrationtester
- Wesley Kirkland - linkedin.com/in/wesleykirkland
2020
- Vaibhav Atkale - twitter.com/atkale_vaibhav
- Swapnil Maurya - twitter.com/swapmaurya20
- Derek Knaub - linkedin.com/in/derek-knaub-97836514
- Sanem Sudheendra
2021
- Naz Markuta - linkedin.com/in/naz-markuta/
- Darren LaCasse - twitter.com/stiltznet
- Ajit Bhatta - twitter.com/callmeajit
- Shreeram Mallick - linkedin.com/in/shreeram-mallick-051b43211
- Rob Lowery - lowery.tech
- Shane King - linkedin.com/in/shane-king-b282a188
- Jeque Rishad
2022
- Patrick Sayler (NetSPI)
- Mayank Gandhi - linkedin.com/in/mayank-gandhi-0163ba216
- Ankur Vaidya
2023
- Elliott Brooks
2024
- Junting Zhu, Chandler Wang & Shuai Yu
2025
- Alvin Mwambi Osano (@Steiner254) - x.com/Steiner254
- Martin Hodgson (Conosco)
- Connor Percival (3B Data Security)
- Cobus Mentz - Woolworths Sudáfrica