Informar de una vulnerabilidad
Si crees que has encontrado una incidencia de seguridad que se ajusta a la definición de vulnerabilidad de Atlassian, informa a nuestro equipo de seguridad a través de uno de los métodos indicados más abajo.
No podemos responder a los informes en masa generados por analizadores automáticos. Si identificas incidencias con un analizador automatizado, recomendamos que un profesional de seguridad revise las incidencias y garantice que los hallazgos son válidos antes de enviar un informe de vulnerabilidad a Atlassian.
Si eres cliente:
- Envía un ticket a nuestro equipo de soporte
Si eres investigador de seguridad:
- Envía un informe a través de nuestro programa de recompensas por errores; o
- Envía un correo electrónico a security@atlassian.com
Solo las vulnerabilidades enviadas a través de nuestro programa de recompensas por errores son aptas para recibir un pago de recompensa.
Incluye la siguiente información en tu informe:
- Tipo de incidencia (cross-site scripting, SQL Injection, ejecución de código remota, etc.)
- Producto y versión con el error o una URL si se trata de un servicio de Cloud
- Impacto potencial de la vulnerabilidad (p. ej. a qué datos puede accederse o cuáles pueden modificarse)
- Instrucciones paso a paso para reproducir la incidencia
- Cualquier prueba de concepto o código de vulnerabilidad para reproducir
Si quieres cifrar tu envío con nuestra clave PGP, descárgala aquí.
Definición de vulnerabilidad
Atlassian considera que una vulnerabilidad de la seguridad es un punto débil en uno de nuestros productos o nuestra infraestructura que podría permitir que un atacante afectase la confidencialidad, la integridad o la disponibilidad del producto o de la infraestructura.
Los siguientes tipos de hallazgos no se consideran vulnerabilidades de seguridad:
- Presencia o ausencia de encabezados de HTTP (X-Frame-Options, CSP, nosniff, etc.). Estos elementos se consideran prácticas recomendadas y por lo tanto, no los clasificamos como vulnerabilidades.
- Atributos relacionados con la seguridad que faltan en cookies no confidenciales.Los productos de Atlassian pueden establecer determinados atributos relacionados con la seguridad en cookies usadas en nuestras aplicaciones. La ausencia de estos encabezados en cookies no confidenciales no se considera una vulnerabilidad de seguridad.
- Seguimientos de pila expuestos. No consideramos que los seguimientos de pila por sí mismos sean una incidencia de seguridad. Si consideras que los seguimientos de pila desvelan información de identificación personal o contenido generado por el usuario, envía un informe detallando la incidencia.
- Falsificación de contenido por usuarios administrativos. Permitimos que los administradores apliquen una inyección de HTML en áreas específicas de nuestros productos como una función de personalización y no consideramos que esa funcionalidad sea una vulnerabilidad.
- Hacer clickjacking en páginas de Jira Server o en páginas que solo tienen contenido estático. Para obtener más detalles, consulta: https://jira.atlassian.com/browse/JRASERVER-25143.
- Autocompletar activado o desactivado
Revelación pública
En Atlassian, uno de nuestros valores es "Empresa abierta, sin tonterías", y creemos que la divulgación de vulnerabilidades es una pieza clave para llevarlo a la práctica. Respetamos los objetivos de nivel de servicio (SLO) de corrección de errores de seguridad, que se encuentran aquí, y aceptamos las solicitudes de divulgación en el programa de recompensas por errores una vez que la incidencia se haya solucionado y publicado en producción. Sin embargo, la solicitud se rechazará si el informe contiene información sobre la instancia o los datos de un cliente. Te pedimos que nos avises con una antelación razonable y esperes a que se apruebe el SLO correspondiente. Ten en cuenta que no ofrecemos recompensas por el envío a través de correo electrónico. Si buscas nuestro programa de recompensas por errores, accede aquí.
Puerto seguro
Al realizar una investigación sobre vulnerabilidades de acuerdo con esta política, consideramos que esta investigación:
- Ha sido autorizada de conformidad con la ley Computer Fraud and Abuse Act (CFAA) (y/o leyes estatales similares), y no iniciaremos ni respaldaremos acciones legales en tu contra por infracciones accidentales y de buena fe de esta política;
- Está exenta de la ley Digital Millennium Copyright Act (DMCA), y no presentaremos ninguna demanda en tu contra por eludir los controles tecnológicos;
- Está exenta de restricciones en nuestros Términos y Condiciones que puedan interferir con la realización de investigaciones de seguridad, y renunciamos a esas restricciones de forma limitada por el trabajo realizado en virtud de esta política; y
- Es legal, ayuda a mantener la seguridad general de Internet y se lleva a cabo de buena fe.
Se espera que, como siempre, cumplas todas las leyes aplicables.
Si en algún momento tienes alguna duda o no tienes claro si tu investigación de seguridad es consecuente con esta política, ponte en contacto con nosotros a través de security@atlassian.com y responderemos a tus preguntas.
Programa de recompensas por errores
Atlassian cuenta con un programa público de recompensas por errores para los productos gestionados por nuestro partner: Bugcrowd. Las investigaciones de seguridad pueden obtener pagos en metálico a cambio de informes sobre vulnerabilidades que cumplan los requisitos y se envíen a Atlassian a través de los programas de recompensas por errores.
Revelación pública
Para Atlassian es prioritario resolver cualquier vulnerabilidad de seguridad en nuestros productos dentro de los plazos expresados en nuestra Política de corrección de errores de seguridad. Atlassian realiza una revelación coordinada de las vulnerabilidades y, para proteger a sus clientes, solicita lo mismo a cualquiera que nos informe de una vulnerabilidad.