Los clientes de Modyo con un contrato de soporte pueden reportar la vulnerabilidad directamente a través del Centro de Soporte de Modyo, emitiendo un incidente de seguridad.
De lo contrario, puedes enviar un correo electrónico a security@modyo.com.
Lo que necesitamos de ti
Detalla los pasos que has seguido para que la vulnerabilidad sea explotable, incluyendo cualquier URL o código que hayas utilizado. Cuanta más información nos proporcione, más rápido podremos reproducir y solucionar el problema.Por favor, no envíe archivos PDF, DOC o EXE ni informes generados por productos DAST. Sí aceptamos imágenes.
Áreas de interés
- Cross-site scripting (XSS)
- Inyección SQL (SQLi)
- Falsificación de solicitudes entre sitios (CSRF)
- Ejecución remota de código (RCE)
- Cookies no utilizadas para la autenticación o la protección CSRF, no marcadas como seguras o HTTPOnly
- Las violaciones de datos, como los datos de los sitios privados o el acceso de administrador no autorizado a Modyo.
Scope del programa
Los dominios que forman parte del programa de Divulgación responsable son los siguientes:
En el caso de https://support.modyo.com/ es una herramienta externa que pertenece a Zendesk por lo que les recomendamos derivar sus reportes a su programa de bug bounty.
Acciones prohibidas
Modyo prohíbe que los usuarios descarguen, modifiquen o accedan a datos de una cuenta que no sea la propia. Las siguientes acciones también están prohibidas:
-
Ejecutar o intentar ejecutar un ataque de denegación de servicios
-
Publicar, transmitir, subir, crear enlaces o guardar cualquier software malicioso incionadamente en o a través de los servicios de Modyo
-
Enviar o causar que se envíen mensaje de correo basura u otros mensaje no solicitados a usuarios
-
Hacer pruebas de una manera que degrade el funcionamiento de nuestros servicios
-
Hacer pruebas que violen la legislación aplicable o nuestros términos de servicios
¿Cómo te recompensa Modyo?
Está en nuestros planes, pero actualmente no tenemos un programa de recompensas por errores. En su lugar, si lo aceptas, te pondremos en nuestra sección del Salón de la Fama de esta guía bajo el nombre o apodo que elijas.
Divulgación pública
Tienes que obtener nuestro permiso antes de divulgar un problema públicamente. Sólo tendremos en cuenta tu solicitud de divulgación pública cuando hayamos solucionado la vulnerabilidad notificada.
Salón de la Fama
¡Gracias a todos por haber reportado vulnerabilidades de forma privada!
- Kunal Mhaske (3)
- Sushmita Poudel (3)
- Girish B O (2)
- Heidar Zeinalli (2)
- Younghun Lee (1)
- Shrivallabh Walkade (1)
- Kullai Metikala (1)
- Phyo WaThone Win (1)
- Nikhil Rane (1)
- Samir Gondaliya (1)
- Jagadeeswaran B (1)
- Siddhi Kulkarni (1)
- Punam Shah (1)
- Veshraj Ghimire (1)
- Durvesh Kolhe (1)
- Prashant Ghule (1)
- Garv Kataria (1)
- Suraj Kumar (1)
- Tejas Pagare (1)
- Harish Harishwar (1)
- Sahaj Gautam (1)
- Vaidik Pandya (1)
- Muhammad Naseem (1)
- Sammam Qureshi (1)
- Amit Kumar (1)
- Suresh S (1)
- Shivam Dhingra (1)