Registro de vulnerabilidades

Cómo reportar un problema de vulnerabilidad de seguridad

Si tienes un problema de vulnerabilidad de seguridad con un producto o aplicación de Nothing, por favor envía un correo electrónico a g_feedback@nothing.tech.

Utiliza la clave PGP para proteger el email con información confidencial y para verificar que las comunicaciones de seguridad enviadas por Nothing son auténticas.

Fecha de activación: 4 de julio de 2022

Fecha de expiración: N/A

ID de clave: 0xA785B8AA

Tipo de clave: RSA

Tamaño de clave: 4096/4096

Huella digital: 96A4 6E60 11B0 32D9 8D54 B384 F6EF CEC6 A785 B8AA

ID de usuario: g_feedback@nothing.tech

En tu email, por favor proporciona la siguiente información:

• Descripción detallada del problema
• Productos y versiones de software
• Información sobre las vulnerabilidades conocidas
• Categoría de la vulnerabilidad
• Título de la vulnerabilidad
• Nombre de dominio
• Nivel de vulnerabilidad
• Descripción de la vulnerabilidad
• Detalles adicionales
• Archivos adjuntos (si los hay)
• Plan de reparación

Detalle el modo en que se detectó el problema y su repercusión. Incluye también todos los documentos de origen del código, capturas de pantalla o vídeos que sean relevantes. Si has utilizado herramientas de análisis durante el proceso de detección de la vulnerabilidad, envíalas como archivos adjuntos. Si las herramientas son demasiado grandes, facilite un enlace de descarga. Además, incluye la prueba de concepto de la vulnerabilidad o el fallo.

Nota: el incumplimiento de estos requisitos puede resultar que tu informe no pase el proceso de revisión.

Una vez recibamos tu informe de vulnerabilidad, completaremos el proceso de verificación en un plazo de 30 días hábiles y te responderemos con los resultados. Por favor, sigue monitoreando tu correo electrónico para actualizaciones.

g_feedback@nothing.tech solo recoge vulnerabilidades de seguridad relacionadas con productos Nothing. Si tienes otros problemas relacionados con productos, puedes contactarnos a través de nuestra página de contacto.

Recompensas por alertar de las vulnerabilidades

Las recompensas por alertar las vulnerabilidades incentivan a los usuarios a reportar vulnerabilidades de seguridad. Las recompensas se clasifican en función de los niveles de vulnerabilidad, y los casos más críticos obtienen recompensas más elevadas. En el cuadro siguiente se indican los niveles de vulnerabilidad y las recompensas.

Crítica: 

$1000 - $2000 

Divulgación de información confidencial, acceso no autorizado a sistemas centrales o a grandes cantidades de información confidencial, ultra violación respecto a actividades confidenciales.

Alta: 

$500 - $1000 

Vulnerabilidades que obtienen permisos directamente, conducen a la filtración de información confidencial y roban datos de los usuarios.

Media: 

$100 - $500 

Vulnerabilidades que requieren de interacción para conseguir permisos, y que provocan importantes filtraciones de información, así como el robo de información de los usuarios.

Baja: 

$20 - $100 

Sólo en un cierto contexto los permisos de acceso pueden dar lugar a filtraciones de información, robo de información de los usuarios.

Si el cupón de la tienda no está disponible en tu región, lo convertiremos en otras recompensas de forma proporcional. Todos los cupones están sujetos a las mismas condiciones. Los importes y tipos de cupones quedan sujetos al criterio exclusivo de Nothing.

Aviso:

Las siguientes situaciones no serán recompensadas:

1. Vulnerabilidades no relacionadas con productos Nothing.
2. Vulnerabilidades que se hicieron públicas antes de ser arregladas.
3. Vulnerabilidades que han sido divulgadas públicamente online.
4. Por la misma vulnerabilidad, sólo se recompensará al que primero lo comunique; los que lo comuniquen posteriormente no recibirán recompensa. Se considerará que una vulnerabilidad encontrada en diferentes versiones seguirá siendo la misma vulnerabilidad.
5. Aquellos que exploten las vulnerabilidades para perjudicar los intereses de los usuarios, perjudicar las operaciones de la empresa o robar datos de los usuarios no recibirán ninguna recompensa. Además, Nothing se reserva el derecho a emprender otras acciones legales.
6. Al participar en el programa de comunicación de vulnerabilidades, el usuario reconoce y acepta que cualquier recompensa concedida está sujeta a los términos y condiciones de este programa. Si las recompensas se proporcionan en forma de dinero en efectivo o están sujetas a algún otro tipo de impuesto, es su responsabilidad cumplir con las leyes fiscales locales y declarar y pagar cualquier impuesto aplicable asociado a la recompensa recibida. Nothing no se hace responsable de las obligaciones fiscales individuales que puedan surgir.
7. Debido a restricciones legales, es posible que Nothing no pueda tramitar recompensas para países/regiones sujetos a sanciones. 

Las recompensas se reducirán de nivel o se anularán en las siguientes situaciones:

1. En el caso de información con graves discrepancias entre el título y el contenido, se procederá a la correspondiente reducción de la clasificación de vulnerabilidad y, en casos graves, a la anulación de las recompensas.
2. La evaluación se realizará en función de las normas de calidad de los informes. Los informes que carezcan de factores clave (descripción del texto, prueba de imagen, método de prueba, interfaz de riesgo, parámetros, etc.), tengan un diseño de informe mal estructurado y no puedan reproducirse de forma coherente, serán recalificados a la baja/ignorados.
3. La divulgación pública de los detalles de las vulnerabilidades sin el permiso de Nothing. En estos casos, Nothing se reserva el derecho de recuperar las compensaciones por vulnerabilidad y emprender las acciones legales pertinentes, incluyendo la búsqueda de daños y perjuicios y/o medidas cautelares.

Para una misma URL, si existen vulnerabilidades similares en varios parámetros, las recompensas se concederán en función de una vulnerabilidad, y las recompensas se concederán en función del grado de gravedad de los daños para los distintos tipos.

Múltiples vulnerabilidades generadas por la misma fuente se cuentan como la misma vulnerabilidad. Por ejemplo, múltiples fallos de seguridad causados por el mismo JS, múltiples fallos de seguridad de páginas causados por el mismo sistema de publicación, fallos de seguridad de emisoras enteras causados por frameworks, múltiples fallos de seguridad generados por la resolución de nombres de dominio, etc.

Si envías varias vulnerabilidades en el mismo informe, te recompensaremos por la vulnerabilidad de mayor gravedad.

Al presentar una vulnerabilidad, confirma si tendrá un impacto real en la empresa y presenta pruebas del daño real. Los daños indirectos o especulativos no se tendrán en cuenta en la evaluación.

Periodo de Entrega de Recompensas:

Distribuiremos recompensas dentro de los 30 días hábiles una vez completada la verificación de la vulnerabilidad por email(?). Por favor, comprueba el estado de tu recompensa lo antes posible.

Información Personal Involucrada:

Para recibir la recompensa, necesitas proporcionar tu cuenta de NOTHING.tech u otra información de cuenta. Sin embargo, no solicitaremos ninguna información personal adicional durante el proceso de envío de vulnerabilidades. Sólo necesitaremos el email registrado para ponernos en contacto contigo y los datos de tu cuenta registrada para emitir la recompensa.

Accederemos, procesaremos y compartiremos tu información personal de acuerdo con nuestra Política de Privacidad. Al participar, aceptas el acceso, uso y la compartición de tu información personal según se describe arriba y en nuestra Política de Privacidad. Si tienes alguna pregunta respecto a esta Política de Privacidad o su implementación, nos puedes contactar a través de este email: privacy@nothing.tech