Revele una vulnerabilidad

La información de esta página está destinada a los investigadores de seguridad interesados en informar de forma responsable las vulnerabilidades de seguridad al equipo de seguridad de Zscaler.

Programa de divulgación de vulnerabilidades

Última actualización: 21 de septiembre de 2022

Introducción

La seguridad requiere transformación, y no hay mejor manera de transformar un programa de seguridad que interactuar directamente con nuestros usuarios. Este compromiso, junto con una firme creencia en la colaboración con la comunidad de seguridad, es clave para mantener un entorno seguro para todos nuestros usuarios.

Si cree que ha descubierto una vulnerabilidad de seguridad en un producto, servicio o aplicación de Zscaler, le recomendamos encarecidamente que nos informe lo antes posible. Le pedimos que mantenga dichos informes en privado hasta que hayamos resuelto el problema.

A cambio, trabajaremos para revisar los informes y responder lo antes posible. Nuestro socio de recompensas por errores, Bugcrowd, se pondrá en contacto con usted inicialmente para hacer una primera valoración de su consulta. Zscaler no buscará soluciones judiciales o de aplicación de la ley en su contra por identificar problemas de seguridad, siempre y cuando (1) cumpla con las políticas establecidas en el presente documento; (2) cumpla con los Términos de divulgación estándar de Bugcrowd; (3) no comprometa la seguridad o privacidad de nuestros usuarios; (4) no destruya información confidencial que pueda haber recopilado de Zscaler como parte de su investigación una vez que se resuelvan los problemas; y (5) acepte y cumpla con los términos de confidencialidad de Zscaler que figuran a continuación.

Confidencialidad

Al interactuar o participar en este programa o enviar una vulnerabilidad de seguridad a Zscaler, acepta cumplir con las siguientes disposiciones de confidencialidad.

"Información confidencial" significa (i) toda la información de Zscaler obtenida durante las pruebas de seguridad o a través de su participación en el Programa de divulgación de vulnerabilidad de Zscaler, (ii) toda la información que se le revele en relación con el Resumen de Recompensas de Bugcrowd y (ii) todas las envíos de información que usted haga. No se le otorga ningún derecho sobre la Información confidencial o la propiedad intelectual de Zscaler al participar en ninguna prueba o participar en el Programa de divulgación de vulnerabilidad de Zscaler.

La Información confidencial no incluye información que (i) sea o se haga pública sin culpa suya y sin violar estas disposiciones, (ii) se desarrolle de forma independiente sin el uso o la referencia a la Información confidencial o (iii) sea o se convierta en conocida por usted procedente de una fuente que no esté sujeta a restricciones de confidencialidad.

Antes de realizar cualquier prueba o notificación, acepta (i) mantener la Información confidencial en estricta confidencialidad, (ii) proteger dicha Información confidencial del uso o divulgación no autorizados, (iii) no divulgar dicha Información confidencial a terceros, incluido el público en general, (iv) no utilizar dicha Información confidencial para ningún fin fuera de lo estipulado según la participación en el Programa de divulgación de vulnerabilidades de Zscaler, y (v) notificar a Zscaler inmediatamente después de descubrir cualquier pérdida o divulgación no autorizada de la Información confidencial. Sin perjuicio de lo anterior, puede revelar Información confidencial de Zscaler a Zscaler o a Bugcrowd a través del portal de socios de Bugcrowd.

¡Gracias por su ayuda!

Alcance y reglas del programa de vulnerabilidad

En el ámbito de aplicación

Principalmente, queremos conocer las siguientes categorías de vulnerabilidades:

  • Exposición de datos confidenciales: secuencias de comandos a través del sitio (XSS) almacenadas, inyección de SQL (SQLi), etc.
  • Problemas relacionados con la autenticación o la gestión de la sesión
  • Ejecución remota de código
  • Vulnerabilidades particularmente inteligentes o problemas únicos que no se puedan clasificar en categorías explícitas. ¡Muéstrenos lo que ha encontrado!

Fuera del ámbito de aplicación

Debe evitar las siguientes categorías de vulnerabilidad, que están fuera del alcance de nuestro programa de divulgación responsable:

  • Denegación de servicio (DoS): a través del tráfico de red, el agotamiento de los recursos u otros métodos
  • Enumeración de usuarios
  • Problemas sólo presentes en navegadores/complementos antiguos o navegadores de software al final de su vida útil
  • Phishing o ingeniería social de empleados, usuarios o clientes de Zscaler
  • Sistemas o problemas relacionados con la tecnología de terceros utilizada por Zscaler
  • Divulgación de archivos públicos conocidos y otras divulgaciones de información que no son un riesgo importante (por ejemplo, robots.txt)
  • Cualquier ataque o vulnerabilidad que depende de que el ordenador de un usuario se vea comprometido en primer lugar

Se espera que participe en la investigación de seguridad de manera responsable. Por ejemplo, si descubre una contraseña o clave expuesta públicamente, no debe usarla para probar el alcance del acceso que otorga o para descargar o filtrar datos para demostrar que está activo. Del mismo modo, si descubre una inyección SQL exitosa, se espera que no aproveche la vulnerabilidad más allá de los pasos iniciales necesarios para demostrar la validación del concepto.

La exfiltración o descarga excesiva de datos de Zscaler, o exigir un pago a cambio de la destrucción de los datos de Zscaler, se considerará fuera del alcance de este programa. Zscaler se reservará todos sus derechos, recursos y acciones para protegerse a sí mismo y a sus usuarios.

Recompensas por vulnerabilidad

Si su informe de vulnerabilidad afecta a un producto o servicio dentro del ámbito de aplicación, es posible que reciba un premio de recompensa. Si es investigador de Bugcrowd, puede reclamar y solicitar puntos de reconocimiento por el material enviado. Si está interesado en ayudarnos de una manera más dedicada como investigador de seguridad en nuestro Programa privado, póngase en contacto con [email protected] con su solicitud y justificante.

Zscaler se reserva el criterio exclusivo de determinar qué solicitudes son elegibles para un premio de recompensa.

Informar sobre una vulnerabilidad de seguridad

Utilice nuestro formulario para informar de vulnerabilidades de seguridad a Zscaler a través de nuestro portal de socios Bugcrowd. Zscaler generalmente califica la vulnerabilidad basada en la puntuación CVSS.