Inicio / Informe de recompensa por errores

Informe de recompensa por errores

Informe de recompensa por errores

Bentley se compromete a mantener los datos de nuestros usuarios seguros y protegidos, así como a ser transparente sobre la forma en que lo hacemos. Nuestros sólidos estándares y certificaciones de privacidad y protección de datos, seguridad y cumplimiento son prueba de ello.

Directrices del Programa de Divulgación Responsable de Bentley Systems

En Bentley Sistemas, tomamos muy the Seguridad de nuestros los sistemas y Productos seriamente y valoramos the Seguridad de la comunidad. Las funciones de divulgación de Seguridad vulnerabilidades nos ayuda nosotros a garantizar la seguridad y privacidad de los usuarios. 

1. Pautas Genéricas

Bentley Systems exige que todos los investigadores

  • Eviten las violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción de datos durante las pruebas de seguridad.
  • Limiten las investigaciones al alcance que se indica más abajo.
  • Usen los canales de comunicaciones definidos más abajo para comunicarnos información sobre vulnerabilidades.
  • Mantengan la información sobre las vulnerabilidades descubiertas confidencial, entre el investigador y Bentley Systems, hasta que se encuentre una solución.
Si se cumplen estas pautas al comunicarnos un problema, nosotros nos comprometemos a
 
  • Abstenernos de iniciar o apoyar cualquier acción legal relacionada con su investigación.
  • Colaborar con usted en la comprensión y solución del problema con celeridad.

2. Código de Conducta y Responsabilidades Legales

En ocasión de una investigación de vulnerabilidad según la presente política, consideramos que la investigación

  • Está autorizada de conformidad con la Ley de Abuso y Fraude Informático (CFAA, por sus siglas en inglés) u otras leyes estaduales similares, y nos abstendremos de iniciar o apoyar cualquier acción legal contra usted, en su calidad de investigador, por violaciones accidentales y de buena fe a esta política.
  • Está exenta de la Ley de Derechos de Autor en el Milenio Digital (DMCA, por sus siglas en inglés) y nos abstendremos de presentar demandas contra usted por elusión de controles tecnológicos.
  • Está exenta de las restricciones impuestas por nuestros Términos y Condiciones que pudieran interferir con la realización de investigaciones de seguridad y renunciamos a tales restricciones al solo efecto del trabajo realizado en virtud de esta política.
  • Es legal, útil para la seguridad general de Internet y se realiza de buena fe.

Se espera que usted en su calidad de investigador, como siempre, cumpla con todas las leyes aplicables. Si en algún momento, usted tiene alguna inquietud o duda respecto de si su investigación de seguridad acata esta política, deberá presentar un informe a través de uno de nuestros canales de comunicación definidos más abajo antes de tomar cualquier otra medida.

3. Alcance/Fuera del Alcance

AlcanceFuera del Alcance
  • Todos los subdominios _.bentley.com
  • Todos los productos de escritorio de Bentley Systems (solo edición CONNECT y posteriores)
  • Todas las aplicaciones móviles de Bentley Systems
  • Todas las aplicaciones y servicios en la nube de Bentley
  • Todos los proyectos de código abierto de Bentley (incluido imodeljs.org)
  • Infraestructura de Bentley Systems (VPN, Servidor de Correo, SharePoint, Skype, etc.)
  • Hallazgos de las pruebas físicas, como acceso a oficinas (p. ej., puertas abiertas, infiltraciones)
  • Hallazgos derivados principalmente de la ingeniería social (p. ej., phishing, vishing)
  • Hallazgos de aplicaciones o sistemas no enumerados en la sección “Alcance”
  • Errores de interfaz de usuario y UX y errores ortográficos
  • Vulnerabilidades de Denegación de Servicio (DOS/DDoS) en el nivel de red
  • Servicios alojados por terceros proveedores y servicios
  • https://www.plaxis.ru
  • https://communities.bentley.com Communities reports should be submitted directly to Telligent.
  • Los informes de SYNCHRO Academy deben ser enviados directamente a Cypher Learning.
  • https://yii.bentley.com/en

4. Vulnerabilidades elegibles/Exclusiones

Vulnerabilidades elegiblesExclusiones
  • Control de acceso Brocken (Escalada de privilegios)
  • Problemas de lógica empresarial
  • Intercambio de recursos de origen cruzado (CORS, por sus siglas en inglés)
  • Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés)
  • Secuencia de comandos en sitios cruzados (XSS, por sus siglas en inglés)
  • Directorio Traversal
  • Adquisición de DLL
  • Inyección de hipervínculo
  • Identificación y Autenticación
  • Referencia directa a objetos inseguros (IDOR, por sus siglas en inglés)
  • Redireccionamiento abierto
  • Otro
  • Ejecución remota de código
  • Configuración errónea de seguridad
  • Exposición de datos sensibles
  • Configuración errónea de la sesión
  • Inyección de SQL
  • Adquisición de subdominio*
  • Problemas de Word-press
  • Errores publicados en el software de Internet dentro de los 15 días de su divulgación
  • Técnicas de spam o ingeniería social, incluidos los problemas de SPF y DKIM
  • Self-XSS (solicitamos pruebas sobre cómo se puede usar el XSS para atacar a otro usuario)
  • Relacionado con X-Frame-Options (clickjacking)
  • Vulnerabilidad de límite de velocidad (a menos que se proporcione un PoC de explotación válido)
  • El archivo XMLRPC.php está habilitado, lo que lleva a un ataque DoS
  • Faltan indicadores de cookies en las cookies no sensibles
  • Faltan encabezados de seguridad que no conducen directamente a una vulnerabilidad (a menos que entregue un PoC)
  • Inyección de encabezado (a menos que pueda demostrar cómo pueden conducir al robo de datos del usuario)
  • Exposición de versiones (a menos que entregue un PoC de explotación de trabajo).
  • Problemas que no son explotables pero que conducen a bloqueos, seguimiento de pila y problemas similares de fuga de información o estabilidad.
  • Denegación de Servicio
  • Cualquier cosa que exija exploradores, plataformas o cifrados obsoletos (es decir, TLS BEAST, POODLE, etc.)
  • Cualquier cosa proveniente de un escaneo automatizado, todo aquello que ya sea público o todo aquello que no esté bajo el control de Bentley Systems (p. ej., Google Analytics, etc.)
  • Cuestiones teóricas que carecen de gravedad en la práctica

*Presente el informe una vez obtenido un PoC en forma de dos capturas de pantalla con indicación de hora y fecha, y un subdominio. Estas capturas de pantalla deben demostrar que el subdominio estuvo libre por lo menos durante una hora. Las herramientas de escaneo a menudo capturan el corto período en el que se ejecutan cambios en el subdominio, hecho que puede parecer una vulnerabilidad pero en realidad no lo es: el registro DNS se elimina poco tiempo después. Al enviar las capturas de pantalla se evitará informar de falsas vulnerabilidades, con el consecuente ahorro de tiempo tanto para usted como para nuestro equipo.

Los informes con un PoC parcial (una sola prueba de marca de tiempo o ninguna) no se tendrán en cuenta como primer informe.

NB: se prohíbe la adquisición real del subdominio reportado como PoC.

 

5. Cómo realizar el informe

Si cree que ha descubierto una vulnerabilidad de seguridad en uno de nuestros productos o plataformas, llene el formulario que aparece en esta página.

Asegúrese de haber incluido la siguiente información:

  • Descripción completa de la vulnerabilidad con indicación de datos tales como URL, solicitud/respuesta HTTP completa y tipo de vulnerabilidad.
  • Los datos necesarios para reproducir la vulnerabilidad.
  • Si correspondiese, una captura de pantalla y/o video de la vulnerabilidad.
  • Datos de contacto, nombre, correo electrónico, número de teléfono, ubicación. No se tomarán en cuenta las presentaciones que carezcan de la información anterior.
  • NOTA IMPORTANTE. mediante el formulario solo se podrá hacer la presentación inicial. Si tiene alguna pregunta no contemplada en el formulario, envíenos un correo electrónico a [email protected].

6. Reglas de Compromiso

  • Se prohíbe estrictamente el DoS.
  • Se prohíbe estrictamente todo ataque de fuerza bruta a credenciales.
  • Se prohíbe la divulgación pública de una vulnerabilidad informada antes de su reparación.
  • No deberá destruir ni degradar nuestro desempeño ni violar la privacidad o integridad de nuestros usuarios y sus datos.
  • Se prohíbe estrictamente sacar provecho de las vulnerabilidades (distintas de las PoC genéricas) y esta conducta se procesará según las leyes aplicables.
  • En caso de que una vulnerabilidad permita el acceso no intencionado a los datos, usted deberá
    • Limitar la cantidad de datos a los que accede al mínimo necesario para demostrar efectivamente una Prueba de Concepto y
    • Detener las pruebas y
    • Presentar un informe de inmediato si al realizar la prueba encuentra datos de un usuario, como por ejemplo, datos de identificación personal (PII, por sus siglas en inglés), datos de salud personales (PHI, por sus siglas en inglés), datos de tarjetas de crédito, o información
      protegida.
  • Bentley no responderá a actos extorsivos, cohercitivos, ni delictivos (p. ej., demandas de pago por adelantado a cambio de no sacar provecho de una vulnerabilidad encontrada).

7. Divulgación Pública

A menos que nuestro equipo haya informado que la vulnerabilidad fue resuelta, no haga pública la información de la vulnerabilidad por 90 días. De lo contrario, será pasible de acciones legales.

8. Duplicados

Esta política solo tendrá en cuenta al primer investigador que informa sobre un problema o problemas similares. Esto incluye informes del mismo problema en entornos diferentes (p. ej., dev-, qa-, prod-)

9. Triaje de Vulnerabilidades

Una vez recibida la presentación:

  • Se analizará la vulnerabilidad informada.
  • En caso de determinar que la presentación es válida y que cumple con los requisitos de esta política, es posible que reciba una contraprestación.
  • Se le informará cuando el incidente se haya resuelto.

10. Contraprestación

Ejemplos de vulnerabilidadIntervalo de precios (USD)**
Control de acceso Brocken (Escalada de privilegios)250-450
Problemas de lógica empresarial100-300
Intercambio de recursos de origen cruzado (CORS)100-200
Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés)150-250
Secuencia de comandos en sitios cruzados (XSS, por sus siglas en inglés)100-200
Adquisición de DLL50
Inyección de hipervínculo50
Identificación y Autenticación250-450
Referencia directa a objetos inseguros (IDOR)250-450
Redireccionamiento abierto50-150
Otro0-500
Ejecución remota de código600
Configuración errónea de seguridad50-250
Exposición de datos sensibles50-200
Secrets leak200-500
Configuración errónea de la sesión50-200
Inyección de SQL250-500
 
Se abordarán los informes de vulnerabilidad de los usuarios de Bentley Systems; sin embargo, los usuarios no son elegibles para recompensas financieras bajo las reglas del Programa de Divulgación Responsable.

Los informes presentados por entidades comerciales o personas que realizan pruebas de seguridad formales/comerciales en nombre de los usuarios de Bentley Systems tampoco califican para recompensas financieras.

**Tenga en cuenta que la contraprestación por varias instancias de un mismo problema tendrá un máximo de 3x el precio.

**Los informes sobre problemas en distintos entornos del producto (dev-, qa-, prod-) se contabilizarán como uno.

Nos reservamos el derecho a modificar esta política en cualquier momento y por cualquier motivo y no ofrecemos garantía alguna de que se dará una contraprestación por todos los informes. Las contraprestaciones se pagan solo a través de PayPal. 

IMPORTANTE. Asegúrese de enviar únicamente una dirección de PayPal válida; para el pago no se tendrán en cuenta direcciones distintas de la original. Si la transacción no se concreta por algún motivo (es decir, PayPal rechaza la operación, el banco receptor no puede aceptar el pago, se alcanzó el monto máximo, la aceptación de los pagos solo se realiza por una página web u otras instrucciones, etc.), el pago será cancelado y no se volverá a presentar.

Bentley Systems se reserva el derecho a retirar el Programa de Divulgación Responsable y su sistema de contraprestaciones en cualquier momento sin previo aviso.

Presentar un informe

TABLA DE CONTENIDO

Bentley Systems exige que todos los investigadores

  • Eviten las violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción de datos durante las pruebas de seguridad.
  • Limiten las investigaciones al alcance que se indica más abajo.
  • Usen los canales de comunicaciones definidos más abajo para comunicarnos información sobre vulnerabilidades.
  • Mantengan la información sobre las vulnerabilidades descubiertas confidencial, entre el investigador y Bentley Systems, hasta que se encuentre una solución.
Si se cumplen estas pautas al comunicarnos un problema, nosotros nos comprometemos a
 
  • Abstenernos de iniciar o apoyar cualquier acción legal relacionada con su investigación.
  • Colaborar con usted en la comprensión y solución del problema con celeridad.

En ocasión de una investigación de vulnerabilidad según la presente política, consideramos que la investigación

  • Está autorizada de conformidad con la Ley de Abuso y Fraude Informático (CFAA, por sus siglas en inglés) u otras leyes estaduales similares, y nos abstendremos de iniciar o apoyar cualquier acción legal contra usted, en su calidad de investigador, por violaciones accidentales y de buena fe a esta política.
  • Está exenta de la Ley de Derechos de Autor en el Milenio Digital (DMCA, por sus siglas en inglés) y nos abstendremos de presentar demandas contra usted por elusión de controles tecnológicos.
  • Está exenta de las restricciones impuestas por nuestros Términos y Condiciones que pudieran interferir con la realización de investigaciones de seguridad y renunciamos a tales restricciones al solo efecto del trabajo realizado en virtud de esta política.
  • Es legal, útil para la seguridad general de Internet y se realiza de buena fe.

Se espera que usted en su calidad de investigador, como siempre, cumpla con todas las leyes aplicables. Si en algún momento, usted tiene alguna inquietud o duda respecto de si su investigación de seguridad acata esta política, deberá presentar un informe a través de uno de nuestros canales de comunicación definidos más abajo antes de tomar cualquier otra medida.

Alcance
  • Todos los subdominios _.bentley.com
  • Todos los productos de escritorio de Bentley Systems (solo edición CONNECT y posteriores)
  • Todas las aplicaciones móviles de Bentley Systems
  • Todas las aplicaciones y servicios en la nube de Bentley
  • Todos los proyectos de código abierto de Bentley (incluido imodeljs.org)
Fuera del Alcance
Vulnerabilidades elegibles
  • Control de acceso Brocken (Escalada de privilegios)
  • Problemas de lógica empresarial
  • Intercambio de recursos de origen cruzado (CORS, por sus siglas en inglés)
  • Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés)
  • Secuencia de comandos en sitios cruzados (XSS, por sus siglas en inglés)
  • Directorio Traversal
  • Adquisición de DLL
  • Inyección de hipervínculo
  • Identificación y Autenticación
  • Referencia directa a objetos inseguros (IDOR, por sus siglas en inglés)
  • Redireccionamiento abierto
  • Otro
  • Ejecución remota de código
  • Configuración errónea de seguridad
  • Exposición de datos sensibles
  • Configuración errónea de la sesión
  • Inyección de SQL
  • Adquisición de subdominio*
  • Problemas de Word-press
Exclusiones
  • Errores publicados en el software de Internet dentro de los 15 días de su divulgación
  • Técnicas de spam o ingeniería social, incluidos los problemas de SPF y DKIM
  • Self-XSS (solicitamos pruebas sobre cómo se puede usar el XSS para atacar a otro usuario)
  • Relacionado con X-Frame-Options (clickjacking)
  • Vulnerabilidad de límite de velocidad (a menos que se proporcione un PoC de explotación válido)
  • El archivo XMLRPC.php está habilitado, lo que lleva a un ataque DoS
  • Faltan indicadores de cookies en las cookies no sensibles
  • Faltan encabezados de seguridad que no conducen directamente a una vulnerabilidad (a menos que entregue un PoC)
  • Inyección de encabezado (a menos que pueda demostrar cómo pueden conducir al robo de datos del usuario)
  • Exposición de versiones (a menos que entregue un PoC de explotación de trabajo).
  • Problemas que no son explotables pero que conducen a bloqueos, seguimiento de pila y problemas similares de fuga de información o estabilidad.
  • Denegación de Servicio
  • Cualquier cosa que exija exploradores, plataformas o cifrados obsoletos (es decir, TLS BEAST, POODLE, etc.)
  • Cualquier cosa proveniente de un escaneo automatizado, todo aquello que ya sea público o todo aquello que no esté bajo el control de Bentley Systems (p. ej., Google Analytics, etc.)
  • Cuestiones teóricas que carecen de gravedad en la práctica

*Presente el informe una vez obtenido un PoC en forma de dos capturas de pantalla con indicación de hora y fecha, y un subdominio. Estas capturas de pantalla deben demostrar que el subdominio estuvo libre por lo menos durante una hora. Las herramientas de escaneo a menudo capturan el corto período en el que se ejecutan cambios en el subdominio, hecho que puede parecer una vulnerabilidad pero en realidad no lo es: el registro DNS se elimina poco tiempo después. Al enviar las capturas de pantalla se evitará informar de falsas vulnerabilidades, con el consecuente ahorro de tiempo tanto para usted como para nuestro equipo.

Los informes con un PoC parcial (una sola prueba de marca de tiempo o ninguna) no se tendrán en cuenta como primer informe.

NB: se prohíbe la adquisición real del subdominio reportado como PoC.

Si cree que ha descubierto una vulnerabilidad de seguridad en uno de nuestros productos o plataformas, llene el formulario que aparece en esta página.

Asegúrese de haber incluido la siguiente información:

  • Descripción completa de la vulnerabilidad con indicación de datos tales como URL, solicitud/respuesta HTTP completa y tipo de vulnerabilidad.
  • Los datos necesarios para reproducir la vulnerabilidad.
  • Si correspondiese, una captura de pantalla y/o video de la vulnerabilidad.
  • Datos de contacto, nombre, correo electrónico, número de teléfono, ubicación. No se tomarán en cuenta las presentaciones que carezcan de la información anterior.
  • NOTA IMPORTANTE. mediante el formulario solo se podrá hacer la presentación inicial. Si tiene alguna pregunta no contemplada en el formulario, envíenos un correo electrónico a [email protected].
  • Se prohíbe estrictamente el DoS.
  • Se prohíbe estrictamente todo ataque de fuerza bruta a credenciales.
  • Se prohíbe la divulgación pública de una vulnerabilidad informada antes de su reparación.
  • No deberá destruir ni degradar nuestro desempeño ni violar la privacidad o integridad de nuestros usuarios y sus datos.
  • Se prohíbe estrictamente sacar provecho de las vulnerabilidades (distintas de las PoC genéricas) y esta conducta se procesará según las leyes aplicables.
  • En caso de que una vulnerabilidad permita el acceso no intencionado a los datos, usted deberá
    • Limitar la cantidad de datos a los que accede al mínimo necesario para demostrar efectivamente una Prueba de Concepto y
    • Detener las pruebas y
    • Presentar un informe de inmediato si al realizar la prueba encuentra datos de un usuario, como por ejemplo, datos de identificación personal (PII, por sus siglas en inglés), datos de salud personales (PHI, por sus siglas en inglés), datos de tarjetas de crédito, o información
      protegida.
  • Bentley no responderá a actos extorsivos, cohercitivos, ni delictivos (p. ej., demandas de pago por adelantado a cambio de no sacar provecho de una vulnerabilidad encontrada).

A menos que nuestro equipo haya informado que la vulnerabilidad fue resuelta, no haga pública la información de la vulnerabilidad por 90 días. De lo contrario, será pasible de acciones legales.

Esta política solo tendrá en cuenta al primer investigador que informa sobre un problema o problemas similares. Esto incluye informes del mismo problema en entornos diferentes (p. ej., dev-, qa-, prod-)

Una vez recibida la presentación:

  • Se analizará la vulnerabilidad informada.
  • En caso de determinar que la presentación es válida y que cumple con los requisitos de esta política, es posible que reciba una contraprestación.
  • Se le informará cuando el incidente se haya resuelto.
Ejemplos de vulnerabilidad Intervalo de precios (USD)**
Control de acceso Brocken (Escalada de privilegios) 200-400
Problemas de lógica empresarial 100-300
Intercambio de recursos de origen cruzado (CORS) 100-200
Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés) 100-200
Secuencia de comandos en sitios cruzados (XSS, por sus siglas en inglés) 50-150
Directorio Traversal 100-200
Adquisición de DLL 100-200
Inyección de hipervínculo 50
Identificación y Autenticación 200-400
Referencia directa a objetos inseguros (IDOR) 200-400
Redireccionamiento abierto 50-150
Otro 0-500
Ejecución remota de código 500
Configuración errónea de seguridad 50-200
Exposición de datos sensibles 50-500
Configuración errónea de la sesión 50-150
Inyección de SQL 200-400
**Tenga en cuenta que la contraprestación por varias instancias de un mismo problema tendrá un máximo de 3x el precio.

**Los informes sobre problemas en distintos entornos del producto (dev-, qa-, prod-) se contabilizarán como uno.

Nos reservamos el derecho a modificar esta política en cualquier momento y por cualquier motivo y no ofrecemos garantía alguna de que se dará una contraprestación por todos los informes. Las contraprestaciones se pagan solo a través de PayPal. 

IMPORTANTE. Asegúrese de enviar únicamente una dirección de PayPal válida; para el pago no se tendrán en cuenta direcciones distintas de la original. Si la transacción no se concreta por algún motivo (es decir, PayPal rechaza la operación, el banco receptor no puede aceptar el pago, se alcanzó el monto máximo, la aceptación de los pagos solo se realiza por una página web u otras instrucciones, etc.), el pago será cancelado y no se volverá a presentar.

Bentley Systems se reserva el derecho a retirar el Programa de Divulgación Responsable y su sistema de contraprestaciones en cualquier momento sin previo aviso.

Celebrate Infrastructure Delivery & Performance Excellence

El Evento Year in Infrastructure y Premios Going Digital Awards 2024

Nominate a project for the most prestigious awards in infrastructure! Extended deadline to enter is April 29th.