Divulgación de seguridad

Notificar una vulnerabilidad

Si cree haber descubierto una vulnerabilidad de seguridad que afecte a cryptoservers.io o a la infraestructura subyacente, notifíquelo a través de uno de los siguientes canales:

• Correo electrónico: [email protected], preferiblemente cifrado con PGP usando nuestra clave pública.
• security.txt: contacto legible por máquina en /.well-known/security.txt conforme a RFC 9116.
• HackerOne privado: por invitación; mencione su nombre de usuario de HackerOne en su correo inicial.

Por favor, no divulgue vulnerabilidades a través de canales públicos (incidencias de GitHub, Twitter, Mastodon, tickets de soporte) antes de que hayamos tenido la oportunidad de responder.

Ámbito

Dentro del alcance

• La propiedad web cryptoservers.io y todos sus subdominios.
• El panel de control de clientes (panel.cryptoservers.io).
• El directorio /.well-known/ y su contenido firmado.
• Fallos de escape de hipervisor, host a guest, guest a guest y migración en vivo que afecten a nuestro tejido KVM.
• Omisiones de autenticación / autorización en el panel o su flujo OAuth.
• Exposición de datos personales (PII) o de pago de clientes.

Fuera del alcance

• Contenido alojado por clientes o servicios operados por clientes que corren en nuestra infraestructura: contacte directamente al cliente o use abuse@.
• Pruebas de denegación de servicio contra nuestra infraestructura.
• Ingeniería social dirigida a nuestro personal.
• Hallazgos de escáneres automatizados sin impacto demostrable.
• Cabeceras de seguridad ausentes que no conducen directamente a una vulnerabilidad.
• Versiones de software desactualizadas en superficies de marketing sin un exploit funcional.

Qué ocurre después de notificar

1. Acuse de recibo en 24 horas, 7 días a la semana. Firmado con PGP.
2. Triaje en 72 horas: evaluación de la gravedad y una estimación inicial del tiempo de resolución.
3. Corrección y verificación: publicamos la corrección, le pedimos que la verifique y la desplegamos en producción.
4. Divulgación coordinada: acordada con usted, generalmente 90 días después de publicar la corrección. Publicaremos un informe post-mortem con crédito a su nombre (o de forma anónima si lo solicita).
5. Recompensa (bounty): consulte la sección de Recompensas a continuación.

Escala de recompensas

Pagadero en USD (mediante transferencia bancaria) o en la criptomoneda de su elección (BTC, XMR, LTC, ETH, DASH, BCH, DOGE) al tipo de cambio del día de la adjudicación.

Los informes duplicados se adjudican en orden de primera presentación válida. La recompensa más alta abonada hasta la fecha es de $12.000 (2025-09-11, TOCTOU en migración en vivo del hipervisor). Todos los investigadores válidos aparecen en el Hall of Fame si optan por ello.

Puerto seguro

La investigación realizada dentro del alcance y el espíritu de esta política no se considera acceso no autorizado conforme a la ley de Saint Kitts ni a la ley de nuestras jurisdicciones operativas, y no emprenderemos acciones civiles ni penales contra investigadores que actúen de buena fe. En concreto:

• No exfiltre más datos de los necesarios para demostrar el impacto: una sola captura de pantalla es suficiente.
• No ejecute acciones destructivas (eliminar datos de clientes, detener servicios, modificar el estado de producción).
• Detenga la investigación e informe en cuanto se haya demostrado el impacto.
• No comparta los hallazgos con terceros antes de la fecha de divulgación coordinada.

Si accidentalmente se sale del alcance con buena fe, contáctenos de inmediato y lo resolveremos juntos.