Gestionar cookies
Utilizamos cookies para ofrecerte una mejor experiencia de usuario y medir el rendimiento de nuestra publicidad. Para obtener más información, consulta la Cookie Policy.
Configuración de cookies
Las cookies necesarias para el correcto funcionamiento del sitio web están siempre activadas.
El resto de cookies se pueden configurar.
Cookies esenciales
Siempre activado
Siempre activas. Estas cookies son esenciales para que puedas utilizar el sitio web y sus funciones. No se pueden desactivar. Se configuran en respuesta a solicitudes que realizas, como establecer tus preferencias de privacidad, iniciar sesión o rellenar formularios.
Cookies de análisis
Discapacitado
Estas cookies recopilan información que nos ayuda a comprender cómo se utilizan nuestros sitios web o cuál es la eficacia de nuestras campañas de marketing, y cómo podemos personalizar nuestros sitios web para usted. Consulte aquí la lista de las cookies de análisis que utilizamos.
Cookies publicitarias
Discapacitado
Estas cookies proporcionan a las empresas de publicidad información sobre su actividad en línea para ayudarles a ofrecerle publicidad en línea más relevante o a limitar el número de veces que ve un anuncio. Esta información puede compartirse con otras empresas de publicidad.
Cookies funcionales
Discapacitado
Estas cookies guardan la configuración de los visitantes del sitio web, los usuarios y sus representantes con el fin de realizar un seguimiento del rendimiento de la campaña promocional.
Vale
INSCRÍBETE
TILDA PUBLISHING

Programa de recompensas por fallos de Tilda

~
1. Resumen
Colaboramos activamente con investigadores de seguridad y ofrecemos recompensas por la detección de vulnerabilidades en la plataforma Tilda, incluidas sus herramientas integradas y los servicios relacionados.

A continuación encontrarás las normas completas del programa y las instrucciones para notificar una vulnerabilidad.
2. Información general: Ámbito del programa
2.1. Ámbito de aplicación
Este programa aborda las vulnerabilidades presentes en los servicios, las herramientas y las aplicaciones web propiedad de Tilda.
Se permiten las pruebas de seguridad siempre que se realicen:
  • Utiliza únicamente tus propias cuentas de Tilda.
  • Dentro de las funciones disponibles en el plan de tarifas correspondiente.
  • Sin interrumpir los sistemas de producción.
Para probar las funciones avanzadas, puedes utilizar una cuenta con una prueba activa del Plan Personal de 14 días.
2.2. Fuera del ámbito de aplicación
Los sitios web propiedad de los usuarios, así como las vulnerabilidades en servicios e integraciones de terceros —como proveedores de pagos, servicios de entrega, servicios de recopilación de datos, etc.— quedan fuera del ámbito de aplicación, incluso si están conectados a Tilda.
Podría aplicarse una excepción cuando la vulnerabilidad se encuentre en el lado de Tilda —por ejemplo, una transferencia de datos incorrecta, la filtración de información confidencial en las solicitudes, fallos en la lógica de integración, etc.—.
Las siguientes categorías de informes tampoco entran dentro del ámbito de aplicación:
  • XSS autónomo y cualquier tipo de XSS en el editor.
  • Ataques DoS/DDoS.
  • Ataques de fuerza bruta sin indicios de que se hayan eludido los mecanismos de protección.
  • Inyección de CSV.
  • Deficiencias en la política de contraseñas sin la posibilidad de eludir la autenticación.
  • CSRF que afecta a acciones de bajo impacto, como cerrar sesión.
  • Clickjacking sin que se haya demostrado que tenga repercusiones en la seguridad.
  • Falta de controles de seguridad o encabezados sin que se haya demostrado que tengan un impacto práctico.
  • Configuraciones incorrectas de SSL/TLS.
  • Resultados de escáneres automatizados sin una prueba de concepto reproducible.
  • Divulgación de información no confidencial, como los números de versión del software.
  • Vulnerabilidades debidas exclusivamente al uso de versiones de software obsoletas.
  • Ingeniería social.
  • Informes que no demuestran un impacto real en la seguridad.
3. Categorías de vulnerabilidad prioritarias
Damos la máxima prioridad a las vulnerabilidades que afectan a la confidencialidad, la integridad o la disponibilidad de los datos, entre las que se incluyen:
  • Ejecución de código del lado del servidor.
  • Inyección SQL.
  • Elusión de la autenticación/autorización.
  • Control de acceso defectuoso.
  • Falsificación de solicitudes del lado del servidor dirigida a servicios internos.
  • Ataque de tipo «cross-site scripting» que afecta a otros usuarios.
  • Falsificación de solicitudes entre sitios que afecta a acciones confidenciales.
  • Subida de archivos sin restricciones.
  • Divulgación de información confidencial.
  • Fallos críticos en la lógica de negocio que dan lugar a accesos no autorizados o a la escalada de privilegios.
4. Normas y restricciones del programa
En el marco de este programa, no debe:
  • Realizar acciones que puedan perturbar el funcionamiento de la plataforma o afectar negativamente a los usuarios de la misma o a terceros.
  • Obtener acceso no autorizado a cuentas de usuario.
  • Llevar a cabo una explotación automatizada a gran escala.
  • Recurre a la ingeniería social.
  • No te limites al nivel mínimo de explotación necesario para confirmar la vulnerabilidad.
  • No publiques una prueba de concepto antes de que se haya solucionado la vulnerabilidad y de que hayas recibido autorización del equipo de seguridad de Tilda.
  • Divulgar públicamente los detalles de una vulnerabilidad sin la autorización previa de Tilda.
  • Facilite cualquier dato personal que haya obtenido durante su investigación.
5. Cómo enviar un informe de vulnerabilidad
Si has detectado una vulnerabilidad, envíanos un correo electrónico a: bugbounty@tilda.cc
Asunto del correo electrónico: Informe del programa de recompensas por errores de «
» – [Breve descripción de la vulnerabilidad]
Tu informe debe incluir:
  • El servicio o la herramienta afectados.
  • El tipo de vulnerabilidad.
  • Una descripción de las posibles repercusiones.
  • Instrucciones paso a paso para la reproducción.
  • Una prueba de concepto, si procede.
  • Recomendaciones de remediación, si las hay.
Los informes que no incluyan pasos reproducibles podrían ser rechazados.
El tiempo medio de respuesta inicial es de un día laborable.
6. Clasificación de vulnerabilidades y recompensas
La clasificación y la gravedad de las vulnerabilidades se determinan según la Taxonomía de Clasificación de Vulnerabilidades (VRT) de Bugcrowd.
La evaluación final también tiene en cuenta:
  • El impacto real en la confidencialidad, la integridad y la disponibilidad de los datos.
  • El escenario realista de explotación.
  • La complejidad y la reproducibilidad del ataque.
  • La magnitud del impacto potencial.
  • La existencia de factores atenuantes o limitaciones.
Las recompensas se basan en la clasificación asignada y oscilan entre 25 y 3000 dólares, en consonancia con los pagos que ofrecen las principales plataformas de caza de errores, como HackerOne y Bugcrowd.
Solo se pagarán recompensas por el primer informe correcto y válido sobre una vulnerabilidad concreta.
La decisión final sobre la clasificación de la vulnerabilidad y el importe de la recompensa la toma el equipo de seguridad de Tilda basándose en los criterios establecidos.
7. Datos de contacto
Informes de vulnerabilidades:
bugbounty@tilda.cc
Consultas generales:
team@tilda.cc
Condiciones de uso
Hecho en
Tilda