Detecte vulnerabilidades

La información de esta página está destinada a los investigadores de seguridad interesados en informar de forma responsable las vulnerabilidades de seguridad al equipo de seguridad de Zscaler.

Programa de divulgación de vulnerabilidades

Última actualización: 21 de septiembre de 2022

Introducción

La seguridad requiere transformación y no hay mejor manera de transformar un programa de seguridad que interactuar directamente con nuestros usuarios. Este compromiso, junto con la firme creencia en la colaboración con la comunidad de la seguridad, es la clave para mantener un entorno seguro para todos nuestros usuarios.

Si cree que ha descubierto una vulnerabilidad de seguridad en un producto, servicio o aplicación de Zscaler, le recomendamos encarecidamente que nos informe lo antes posible. Le pedimos que no divulgue dichos informes hasta que hayamos resuelto el problema.

A cambio, nos encargaremos de revisar los informes y responder lo antes posible. Nuestro socio de recompensas por errores, Bugcrowd, se pondrá en contacto con usted inicialmente para hacer la primera valoración de su consulta. Zscaler no buscará soluciones judiciales o de aplicación de la ley en su contra por identificar problemas de seguridad, siempre y cuando (1) cumpla con las políticas establecidas en el presente documento; (2) cumpla con los  Términos de divulgación estándar de Bugcrowd; (3) no comprometa la seguridad o privacidad de nuestros usuarios; (4) no destruya ningún dato confidencial que pueda haber recopilado de Zscaler como parte de su investigación una vez que se resuelvan los problemas; y (5) acepte y cumpla con los términos de confidencialidad de Zscaler que figuran a continuación.

Confidencialidad

Al comprometerse o participar en este programa o enviar un informe de vulnerabilidad de seguridad a Zscaler,  usted acepta cumplir con las siguientes disposiciones de confidencialidad.

"Información confidencial" significa (i) toda la información de Zscaler obtenida durante las pruebas de seguridad o a través de su participación en el Programa de divulgación de vulnerabilidad de Zscaler, (ii) toda la información que se le revele en relación con el Resumen de Recompensas de Bugcrowd y (ii) todas las envíos de información que usted haga. No se le otorga ningún derecho sobre la Información confidencial o la propiedad intelectual de Zscaler al participar en ninguna prueba o participar en el Programa de divulgación de vulnerabilidad de Zscaler.

La Información confidencial no incluye información que (i) sea o se haga pública sin culpa suya y sin violar estas disposiciones, (ii) se desarrolle de forma independiente sin el uso o la referencia a la Información confidencial o (iii) sea o se convierta en conocida por usted procedente de una fuente que no esté sujeta a restricciones de confidencialidad.

Antes de realizar cualquier prueba o enviar hallazgos, usted acepta (i) mantener la Información confidencial en estricta confidencialidad, (ii) proteger dicha Información confidencial del uso o divulgación no autorizados, (iii) no divulgar dicha Información confidencial a ningún tercero, incluido el público, (iv) no utilizar dicha Información confidencial para ningún fin fuera del alcance de la participación en el Programa de divulgación de vulnerabilidades de Zscaler, y (v) notificar a Zscaler inmediatamente después de descubrir cualquier pérdida o divulgación no autorizada de la Información confidencial. Sin perjuicio de lo anterior, puede revelar Información confidencial de Zscaler a Zscaler o a Bugcrowd a través del portal de socios de Bugcrowd.

¡Gracias por su ayuda!

Alcance y normas del programa de vulnerabilidad

En el ámbito de aplicación

Estamos principalmente interesados en conocer las siguientes categorías de vulnerabilidades:

  • Exposición de datos confidenciales: Cross Site Scripting (XSS) Stored, SQL Injection (SQLi), etc.
  • Problemas relacionados con la autenticación o el control de la sesión
  • Ejecución remota de código
  • Vulnerabilidades particularmente inteligentes o problemas únicos que no se puedan clasificar en categorías explícitas. ¡Muéstrenos lo que ha encontrado!

Fuera del ámbito de aplicación

Debe evitar las siguientes categorías de vulnerabilidades, que quedan fuera del alcance de nuestro programa de divulgación responsable:

  • Denegación de servicio (DoS): ya sea por tráfico de red, agotamiento de recursos u otros métodos
  • Enumeración de usuarios
  • Problemas que solo se presentan en navegadores antiguos/plugins antiguos o navegadores de software al final de su vida
  • Phishing o ingeniería social de empleados, usuarios o clientes de Zscaler
  • Sistemas o problemas relacionados con la tecnología de terceros utilizada por Zscaler
  • Divulgación de archivos públicos conocidos y otras divulgaciones de información que no son un riesgo importante (por ejemplo, robots.txt)
  • Cualquier ataque o vulnerabilidad que depende de que el ordenador de un usuario se vea comprometido en primer lugar

Se espera su participación en las investigaciones en materia de seguridad de forma responsable. Por ejemplo, si descubre una contraseña o clave expuesta públicamente, no debe utilizarla para probar el alcance del acceso que concede o para descargar o exfiltrar datos con el fin de demostrar que está activa. Del mismo modo, si descubre una inyección SQL exitosa, se espera que no aproveche la vulnerabilidad más allá de los pasos iniciales necesarios para demostrar la validación del concepto.

La exfiltración o descarga excesiva de datos de Zscaler, o exigir un pago a cambio de la destrucción de los datos de Zscaler, se considerará fuera del alcance de este programa y Zscaler se reservará todos sus derechos, recursos y acciones para protegerse a sí mismo y a sus usuarios.

Recompensas por vulnerabilidad

Si su informe de vulnerabilidad afecta a un producto o servicio dentro del ámbito de aplicación, es posible que reciba un premio de recompensa. Si es investigador de Bugcrowd, puede reclamar y solicitar puntos de reconocimiento por el material enviado. Si está interesado en ayudarnos de forma más dedicada como investigador de seguridad en nuestro programa privado, póngase en contacto con [email protected] con su solicitud y justificación.

Zscaler se reserva el derecho exclusivo de determinar qué solicitudes cumplen los requisitos para las recompensas.

Informar sobre una vulnerabilidad de seguridad

Utilice el siguiente formulario  para informar de las vulnerabilidades de seguridad a Zscaler a través de nuestro portal de socios Bugcrowd. Zscaler generalmente califica las vulnerabilidades basadas en la puntuación CVSS.