Inicio / Informe de recompensa por errores

Informe de recompensa por errores

Informe de recompensa por errores

Bentley se compromete a mantener los datos de nuestros usuarios seguros y protegidos, así como a ser transparente sobre la forma en que lo hacemos. Nuestros sólidos estándares y certificaciones de privacidad y protección de datos, seguridad y cumplimiento son prueba de ello.

Directrices del Programa de Divulgación Responsable de Bentley Systems

At Bentley Systems, we take the security of our systems and products seriously, and we value the security community. The disclosure of security vulnerabilities helps us ensure the security and privacy of our users. 

1. Pautas Genéricas

Bentley Systems exige que todos los investigadores

  • Eviten las violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción de datos durante las pruebas de seguridad.
  • Limiten las investigaciones al alcance que se indica más abajo.
  • Usen los canales de comunicaciones definidos más abajo para comunicarnos información sobre vulnerabilidades.
  • Mantengan la información sobre las vulnerabilidades descubiertas confidencial, entre el investigador y Bentley Systems, hasta que se encuentre una solución.
Si se cumplen estas pautas al comunicarnos un problema, nosotros nos comprometemos a
 
  • Abstenernos de iniciar o apoyar cualquier acción legal relacionada con su investigación.
  • Colaborar con usted en la comprensión y solución del problema con celeridad.

2. Código de Conducta y Responsabilidades Legales

En ocasión de una investigación de vulnerabilidad según la presente política, consideramos que la investigación

  • Está autorizada de conformidad con la Ley de Abuso y Fraude Informático (CFAA, por sus siglas en inglés) u otras leyes estaduales similares, y nos abstendremos de iniciar o apoyar cualquier acción legal contra usted, en su calidad de investigador, por violaciones accidentales y de buena fe a esta política.
  • Está exenta de la Ley de Derechos de Autor en el Milenio Digital (DMCA, por sus siglas en inglés) y nos abstendremos de presentar demandas contra usted por elusión de controles tecnológicos.
  • Está exenta de las restricciones impuestas por nuestros Términos y Condiciones que pudieran interferir con la realización de investigaciones de seguridad y renunciamos a tales restricciones al solo efecto del trabajo realizado en virtud de esta política.
  • Es legal, útil para la seguridad general de Internet y se realiza de buena fe.

Se espera que usted en su calidad de investigador, como siempre, cumpla con todas las leyes aplicables. Si en algún momento, usted tiene alguna inquietud o duda respecto de si su investigación de seguridad acata esta política, deberá presentar un informe a través de uno de nuestros canales de comunicación definidos más abajo antes de tomar cualquier otra medida.

3. Alcance/Fuera del Alcance

AlcanceFuera del Alcance
  • Todos los subdominios _.bentley.com
  • Todos los productos de escritorio de Bentley Systems (solo edición CONNECT y posteriores)
  • Todas las aplicaciones móviles de Bentley Systems
  • Todas las aplicaciones y servicios en la nube de Bentley
  • All Bentley Open-Source Projects (including imodeljs.org)
  • Infraestructura de Bentley Systems (VPN, Servidor de Correo, SharePoint, Skype, etc.)
  • Hallazgos de las pruebas físicas, como acceso a oficinas (p. ej., puertas abiertas, infiltraciones)
  • Hallazgos derivados principalmente de la ingeniería social (p. ej., phishing, vishing)
  • Hallazgos de aplicaciones o sistemas no enumerados en la sección “Alcance”
  • Servicios alojados por terceros proveedores y servicios
  • https://www.plaxis.ru

4. Vulnerabilidades elegibles/Exclusiones

Vulnerabilidades elegiblesExclusiones
  • Ejecución remota de código
  • Adquisición de DLL
  • Inyección de SQL
  • Secuencia de comandos en sitios cruzados (XSS, por sus siglas en inglés)
  • Identificación y Autenticación
  • Referencia directa a objetos inseguros (IDOR, por sus siglas en inglés)
  • Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés)
  • Directorio Traversal
  • Exposición de datos sensibles
  • Configuración errónea de la sesión
  • Broken Access control (Privilege Escalation)
  • Configuración errónea de seguridad
  • Intercambio de recursos de origen cruzado (CORS, por sus siglas en inglés)
  • Redireccionamiento abierto
  • Adquisición de subdominio*
  • Problemas de lógica empresarial
  • Inyección de hipervínculo
  • Problemas de Word-press
  • DDoS
  • DoS, and application-level DoS (unless the response is asymmetrical compared to the initial request)
  • Errores publicados en el software de Internet dentro de los 15 días de su divulgación
  • Self-XSS (solicitamos pruebas sobre cómo se puede usar el XSS para atacar a otro usuario)
  • Relacionado con X-Frame-Options (clickjacking)
  • Inyección de encabezado (a menos que pueda demostrar cómo pueden conducir al robo de datos del usuario)
  • Problemas que no son explotables pero que conducen a bloqueos, seguimiento de pila y problemas similares de fuga de información o estabilidad.
  • Exposición de versiones (a menos que entregue un PoC de explotación de trabajo).
  • Cualquier cosa que exija exploradores, plataformas o cifrados obsoletos (es decir, TLS BEAST, POODLE, etc.)
  • Técnicas de spam o ingeniería social, incluidos los problemas de SPF y DKIM
  • Rate limit vulnerability not on a login functionality (unless a valid exploit PoC provided)
  • El archivo XMLRPC.php está habilitado, lo que lleva a un ataque DoS
  • Faltan indicadores de cookies en las cookies no sensibles
  • Faltan encabezados de seguridad que no conducen directamente a una vulnerabilidad (a menos que entregue un PoC)
  • Anything from an automated scan
  • Anything that is public by default (e.g. public keys, config files without sensitive information, etc.)
  • Anything not under Bentley Systems control (e.g. Google Analytics, etc.)
  • Cuestiones teóricas que carecen de gravedad en la práctica
  • Errores de interfaz de usuario y UX y errores ortográficos
  • Credentials found at breach forums like [https://breachforums.st, https://phonebook.cz] etc.
  • CAA certificate missing
  • User enumeration in WP, when only a few Bentley employees, who posted on the website, are exposed

*Presente el informe una vez obtenido un PoC en forma de dos capturas de pantalla con indicación de hora y fecha, y un subdominio. Estas capturas de pantalla deben demostrar que el subdominio estuvo libre por lo menos durante una hora. Las herramientas de escaneo a menudo capturan el corto período en el que se ejecutan cambios en el subdominio, hecho que puede parecer una vulnerabilidad pero en realidad no lo es: el registro DNS se elimina poco tiempo después. Al enviar las capturas de pantalla se evitará informar de falsas vulnerabilidades, con el consecuente ahorro de tiempo tanto para usted como para nuestro equipo. 

Los informes con un PoC parcial (una sola prueba de marca de tiempo o ninguna) no se tendrán en cuenta como primer informe. 

NB: se prohíbe la adquisición real del subdominio reportado como PoC. 

5. Cómo realizar el informe

Si cree que ha descubierto una vulnerabilidad de seguridad en uno de nuestros productos o plataformas, llene el formulario que aparece en esta página. 

A good practice is to think whether the discovered vulnerability puts at risk:

  • Bentley Systems clients’ information.
  • Bentley Systems software.
  • Bentley Systems reputation.

Asegúrese de haber incluido la siguiente información:

  • Descripción completa de la vulnerabilidad con indicación de datos tales como URL, solicitud/respuesta HTTP completa y tipo de vulnerabilidad.
  • Information necessary to reproduce the issue.
  • Proof of concept including practical severity and attack scenario, indication of a potential risk only is hard to evaluate and usually such report is not approved.
  • If applicable, a screenshot and/or video of the vulnerability.
  • Datos de contacto, nombre, correo electrónico, número de teléfono, ubicación. No se tomarán en cuenta las presentaciones que carezcan de la información anterior.
  • IMPORTANT NOTE. You may only make the initial submission through the form. If you have any questions not mentioned in a form, please e-mail us at [email protected].

6. Reglas de Compromiso

  • Se prohíbe estrictamente el DoS.
  • Se prohíbe estrictamente todo ataque de fuerza bruta a credenciales.
  • Se prohíbe la divulgación pública de una vulnerabilidad informada antes de su reparación.
  • No deberá destruir ni degradar nuestro desempeño ni violar la privacidad o integridad de nuestros usuarios y sus datos.
  • Se prohíbe estrictamente sacar provecho de las vulnerabilidades (distintas de las PoC genéricas) y esta conducta se procesará según las leyes aplicables.
  • En caso de que una vulnerabilidad permita el acceso no intencionado a los datos, usted deberá
    • Limitar la cantidad de datos a los que accede al mínimo necesario para demostrar efectivamente una Prueba de Concepto y
    • Detener las pruebas y
    • Presentar un informe de inmediato si al realizar la prueba encuentra datos de un usuario, como por ejemplo, datos de identificación personal (PII, por sus siglas en inglés), datos de salud personales (PHI, por sus siglas en inglés), datos de tarjetas de crédito, o información
      protegida.
  • Bentley no responderá a actos extorsivos, cohercitivos, ni delictivos (p. ej., demandas de pago por adelantado a cambio de no sacar provecho de una vulnerabilidad encontrada).

7. Divulgación Pública

A menos que nuestro equipo haya informado que la vulnerabilidad fue resuelta, no haga pública la información de la vulnerabilidad por 90 días. De lo contrario, será pasible de acciones legales.

8. Duplicados

  • Only the first researcher to report an issue will be entitled for a reward.
  • The reports of the same issue in different environments are not rewarded and closed as duplicates. (e.g. dev-*-bentley.com, qa- dev-*-bentley.com, prod- dev-*-bentley.com) 
  • The reports of the same issue in different deployment regions are not rewarded and closed as duplicates. (e.g. *.us.bentley.com, *.eus-bentley.com, *.in.-*-bentley.com)
  • Multiple instances of the same issue will only be compensated to a max of 3x the reward sum. (e.g. expires SSL certificate on 25 domain and subdomains will count 3×100 USD, and not 25×100 USD)

9. Triaje de Vulnerabilidades

Una vez recibida la presentación:
  • Se analizará la vulnerabilidad informada.
  • You will be informed if the issue is closed without a reward. We do not send a detailed explanation of the resolution.
  • If we determine the submission is valid and meets the requirements of this policy, you may receive a reward after the fix is implemented. Our commitment is to reward your efforts within 90 days.

10. Contraprestación

Ejemplos de vulnerabilidadIntervalo de precios (USD)**
Control de acceso Brocken (Escalada de privilegios)250-450
Problemas de lógica empresarial100-300
Intercambio de recursos de origen cruzado (CORS)100-200
Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés)150-250
Secuencia de comandos en sitios cruzados (XSS, por sus siglas en inglés)100-200
Adquisición de DLL50
Inyección de hipervínculo50
Identificación y Autenticación250-450
Referencia directa a objetos inseguros (IDOR)250-450
Redireccionamiento abierto50-150
Otro0-500
Ejecución remota de código600
Configuración errónea de seguridad50-250
Exposición de datos sensibles50-200
Secrets leak200-500
Configuración errónea de la sesión50-200
Inyección de SQL250-500
 

NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following: 

  • report was submitted by current of former employee of Bentley Systems
  • report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
  • report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
  • report was submitted by the employee of the company that is a Bentley System’s service provider.
  • report was submitted by an individual residing in a country that is currently subject to international sanctions.
  • Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.

**Tenga en cuenta que la contraprestación por varias instancias de un mismo problema tendrá un máximo de 3x el precio.

**Los informes sobre problemas en distintos entornos del producto (dev-, qa-, prod-) se contabilizarán como uno.

Nos reservamos el derecho a modificar esta política en cualquier momento y por cualquier motivo y no ofrecemos garantía alguna de que se dará una contraprestación por todos los informes. Las contraprestaciones se pagan solo a través de PayPal. 

IMPORTANTE. Asegúrese de enviar únicamente una dirección de PayPal válida; para el pago no se tendrán en cuenta direcciones distintas de la original. Si la transacción no se concreta por algún motivo (es decir, PayPal rechaza la operación, el banco receptor no puede aceptar el pago, se alcanzó el monto máximo, la aceptación de los pagos solo se realiza por una página web u otras instrucciones, etc.), el pago será cancelado y no se volverá a presentar.

Bentley Systems se reserva el derecho a retirar el Programa de Divulgación Responsable y su sistema de contraprestaciones en cualquier momento sin previo aviso.

Presentar un informe

TABLA DE CONTENIDO

Bentley Systems exige que todos los investigadores

  • Eviten las violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción de datos durante las pruebas de seguridad.
  • Limiten las investigaciones al alcance que se indica más abajo.
  • Usen los canales de comunicaciones definidos más abajo para comunicarnos información sobre vulnerabilidades.
  • Mantengan la información sobre las vulnerabilidades descubiertas confidencial, entre el investigador y Bentley Systems, hasta que se encuentre una solución.
Si se cumplen estas pautas al comunicarnos un problema, nosotros nos comprometemos a
 
  • Abstenernos de iniciar o apoyar cualquier acción legal relacionada con su investigación.
  • Colaborar con usted en la comprensión y solución del problema con celeridad.

En ocasión de una investigación de vulnerabilidad según la presente política, consideramos que la investigación

  • Está autorizada de conformidad con la Ley de Abuso y Fraude Informático (CFAA, por sus siglas en inglés) u otras leyes estaduales similares, y nos abstendremos de iniciar o apoyar cualquier acción legal contra usted, en su calidad de investigador, por violaciones accidentales y de buena fe a esta política.
  • Está exenta de la Ley de Derechos de Autor en el Milenio Digital (DMCA, por sus siglas en inglés) y nos abstendremos de presentar demandas contra usted por elusión de controles tecnológicos.
  • Está exenta de las restricciones impuestas por nuestros Términos y Condiciones que pudieran interferir con la realización de investigaciones de seguridad y renunciamos a tales restricciones al solo efecto del trabajo realizado en virtud de esta política.
  • Es legal, útil para la seguridad general de Internet y se realiza de buena fe.

Se espera que usted en su calidad de investigador, como siempre, cumpla con todas las leyes aplicables. Si en algún momento, usted tiene alguna inquietud o duda respecto de si su investigación de seguridad acata esta política, deberá presentar un informe a través de uno de nuestros canales de comunicación definidos más abajo antes de tomar cualquier otra medida.

Alcance
  • Todos los subdominios _.bentley.com
  • Todos los productos de escritorio de Bentley Systems (solo edición CONNECT y posteriores)
  • Todas las aplicaciones móviles de Bentley Systems
  • Todas las aplicaciones y servicios en la nube de Bentley
  • Todos los proyectos de código abierto de Bentley (incluido imodeljs.org)
Fuera del Alcance
Vulnerabilidades elegibles
  • Control de acceso Brocken (Escalada de privilegios)
  • Problemas de lógica empresarial
  • Intercambio de recursos de origen cruzado (CORS, por sus siglas en inglés)
  • Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés)
  • Secuencia de comandos en sitios cruzados (XSS, por sus siglas en inglés)
  • Directorio Traversal
  • Adquisición de DLL
  • Inyección de hipervínculo
  • Identificación y Autenticación
  • Referencia directa a objetos inseguros (IDOR, por sus siglas en inglés)
  • Redireccionamiento abierto
  • Otro
  • Ejecución remota de código
  • Configuración errónea de seguridad
  • Exposición de datos sensibles
  • Configuración errónea de la sesión
  • Inyección de SQL
  • Adquisición de subdominio*
  • Problemas de Word-press
Exclusiones
  • Errores publicados en el software de Internet dentro de los 15 días de su divulgación
  • Técnicas de spam o ingeniería social, incluidos los problemas de SPF y DKIM
  • Self-XSS (solicitamos pruebas sobre cómo se puede usar el XSS para atacar a otro usuario)
  • Relacionado con X-Frame-Options (clickjacking)
  • Vulnerabilidad de límite de velocidad (a menos que se proporcione un PoC de explotación válido)
  • El archivo XMLRPC.php está habilitado, lo que lleva a un ataque DoS
  • Faltan indicadores de cookies en las cookies no sensibles
  • Faltan encabezados de seguridad que no conducen directamente a una vulnerabilidad (a menos que entregue un PoC)
  • Inyección de encabezado (a menos que pueda demostrar cómo pueden conducir al robo de datos del usuario)
  • Exposición de versiones (a menos que entregue un PoC de explotación de trabajo).
  • Problemas que no son explotables pero que conducen a bloqueos, seguimiento de pila y problemas similares de fuga de información o estabilidad.
  • Denegación de Servicio
  • Cualquier cosa que exija exploradores, plataformas o cifrados obsoletos (es decir, TLS BEAST, POODLE, etc.)
  • Cualquier cosa proveniente de un escaneo automatizado, todo aquello que ya sea público o todo aquello que no esté bajo el control de Bentley Systems (p. ej., Google Analytics, etc.)
  • Cuestiones teóricas que carecen de gravedad en la práctica

*Presente el informe una vez obtenido un PoC en forma de dos capturas de pantalla con indicación de hora y fecha, y un subdominio. Estas capturas de pantalla deben demostrar que el subdominio estuvo libre por lo menos durante una hora. Las herramientas de escaneo a menudo capturan el corto período en el que se ejecutan cambios en el subdominio, hecho que puede parecer una vulnerabilidad pero en realidad no lo es: el registro DNS se elimina poco tiempo después. Al enviar las capturas de pantalla se evitará informar de falsas vulnerabilidades, con el consecuente ahorro de tiempo tanto para usted como para nuestro equipo.

Los informes con un PoC parcial (una sola prueba de marca de tiempo o ninguna) no se tendrán en cuenta como primer informe.

NB: se prohíbe la adquisición real del subdominio reportado como PoC.

Si cree que ha descubierto una vulnerabilidad de seguridad en uno de nuestros productos o plataformas, llene el formulario que aparece en esta página.

Asegúrese de haber incluido la siguiente información:

  • Descripción completa de la vulnerabilidad con indicación de datos tales como URL, solicitud/respuesta HTTP completa y tipo de vulnerabilidad.
  • Los datos necesarios para reproducir la vulnerabilidad.
  • Si correspondiese, una captura de pantalla y/o video de la vulnerabilidad.
  • Datos de contacto, nombre, correo electrónico, número de teléfono, ubicación. No se tomarán en cuenta las presentaciones que carezcan de la información anterior.
  • NOTA IMPORTANTE. mediante el formulario solo se podrá hacer la presentación inicial. Si tiene alguna pregunta no contemplada en el formulario, envíenos un correo electrónico a [email protected].
  • Se prohíbe estrictamente el DoS.
  • Se prohíbe estrictamente todo ataque de fuerza bruta a credenciales.
  • Se prohíbe la divulgación pública de una vulnerabilidad informada antes de su reparación.
  • No deberá destruir ni degradar nuestro desempeño ni violar la privacidad o integridad de nuestros usuarios y sus datos.
  • Se prohíbe estrictamente sacar provecho de las vulnerabilidades (distintas de las PoC genéricas) y esta conducta se procesará según las leyes aplicables.
  • En caso de que una vulnerabilidad permita el acceso no intencionado a los datos, usted deberá
    • Limitar la cantidad de datos a los que accede al mínimo necesario para demostrar efectivamente una Prueba de Concepto y
    • Detener las pruebas y
    • Presentar un informe de inmediato si al realizar la prueba encuentra datos de un usuario, como por ejemplo, datos de identificación personal (PII, por sus siglas en inglés), datos de salud personales (PHI, por sus siglas en inglés), datos de tarjetas de crédito, o información
      protegida.
  • Bentley no responderá a actos extorsivos, cohercitivos, ni delictivos (p. ej., demandas de pago por adelantado a cambio de no sacar provecho de una vulnerabilidad encontrada).

A menos que nuestro equipo haya informado que la vulnerabilidad fue resuelta, no haga pública la información de la vulnerabilidad por 90 días. De lo contrario, será pasible de acciones legales.

Esta política solo tendrá en cuenta al primer investigador que informa sobre un problema o problemas similares. Esto incluye informes del mismo problema en entornos diferentes (p. ej., dev-, qa-, prod-)

Una vez recibida la presentación:

  • Se analizará la vulnerabilidad informada.
  • En caso de determinar que la presentación es válida y que cumple con los requisitos de esta política, es posible que reciba una contraprestación.
  • Se le informará cuando el incidente se haya resuelto.
Ejemplos de vulnerabilidad Intervalo de precios (USD)**
Control de acceso Brocken (Escalada de privilegios) 200-400
Problemas de lógica empresarial 100-300
Intercambio de recursos de origen cruzado (CORS) 100-200
Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés) 100-200
Secuencia de comandos en sitios cruzados (XSS, por sus siglas en inglés) 50-150
Directorio Traversal 100-200
Adquisición de DLL 100-200
Inyección de hipervínculo 50
Identificación y Autenticación 200-400
Referencia directa a objetos inseguros (IDOR) 200-400
Redireccionamiento abierto 50-150
Otro 0-500
Ejecución remota de código 500
Configuración errónea de seguridad 50-200
Exposición de datos sensibles 50-500
Configuración errónea de la sesión 50-150
Inyección de SQL 200-400
**Tenga en cuenta que la contraprestación por varias instancias de un mismo problema tendrá un máximo de 3x el precio.

**Los informes sobre problemas en distintos entornos del producto (dev-, qa-, prod-) se contabilizarán como uno.

Nos reservamos el derecho a modificar esta política en cualquier momento y por cualquier motivo y no ofrecemos garantía alguna de que se dará una contraprestación por todos los informes. Las contraprestaciones se pagan solo a través de PayPal. 

IMPORTANTE. Asegúrese de enviar únicamente una dirección de PayPal válida; para el pago no se tendrán en cuenta direcciones distintas de la original. Si la transacción no se concreta por algún motivo (es decir, PayPal rechaza la operación, el banco receptor no puede aceptar el pago, se alcanzó el monto máximo, la aceptación de los pagos solo se realiza por una página web u otras instrucciones, etc.), el pago será cancelado y no se volverá a presentar.

Bentley Systems se reserva el derecho a retirar el Programa de Divulgación Responsable y su sistema de contraprestaciones en cualquier momento sin previo aviso.

20 % de descuento en software de Bentley

La oferta termina el viernes

Use el código de cupón "THANKS24"

Celebre la excelencia en la entrega y el rendimiento de la infraestructura

El Evento Year in Infrastructure y Premios Going Digital Awards 2024

¡Nomine un proyecto para los premios más prestigiosos en infraestructura! El plazo ampliado para participar termina el 29 de abril.