threatover Patrik Grobshäuser

Seguridad

Divulgación responsable

Si has encontrado una vulnerabilidad en threatover.com o en un servicio que operamos, queremos saberlo. Así puedes reportarla.

Alcance

  • threatover.com y sus subdominios
  • APIs públicas operadas por threatover
  • Infraestructura de correo orientada a clientes (noreply@, hello@)

Fuera de alcance: servicios de terceros que usamos (Cloudflare, AWS SES, etc.) — repórtalos directamente al proveedor. Los sitios de clientes que estamos limpiando activamente quedan fuera de alcance; repórtalo a través de tu contacto del encargo.

Cómo reportar

Envía un informe escrito a [email protected]. Incluye:

  • Una descripción clara del problema y del endpoint o componente afectado
  • Pasos para reproducirlo, idealmente con una prueba de concepto mínima
  • Cuál crees que es el impacto
  • Si has compartido el problema en otro sitio

El cifrado PGP es bienvenido pero no obligatorio. Si necesitas una clave, pídela en tu primer mensaje y la enviamos.

Qué puedes esperar

  • Acuse de recibo de tu reporte en un plazo de cinco días hábiles
  • Una evaluación honesta de la severidad y del plazo previsto de corrección
  • Reconocimiento en cualquier publicación pública si lo quieres (y preguntamos antes de nombrarte)
  • Coordinación de los tiempos de divulgación — buscamos arreglar antes de publicar

Safe harbor

No emprenderemos acciones legales contra investigadores que:

  • Se ciñan a los activos en alcance indicados arriba
  • Eviten degradar el servicio para otros usuarios (sin DoS, sin pruebas destructivas sobre recursos compartidos)
  • No accedan, modifiquen, exfiltren ni retengan datos de otras personas más allá de lo estrictamente necesario para demostrar el problema
  • Reporten el problema en privado y nos den un plazo razonable para arreglarlo antes de publicar
  • Cumplan con la legislación aplicable

Fuera de alcance (por favor no los reportes)

  • Cabeceras de seguridad ausentes sin impacto demostrable
  • Configuración SPF / DMARC / DKIM sin una PoC de spoofing funcional
  • Self-XSS, clickjacking en páginas sin acciones sensibles
  • Salida de escáneres automáticos sin validación
  • Enumeración de usuarios en endpoints públicos (no tenemos cuentas de usuario que enumerar)

Recompensas

Actualmente no tenemos un programa de bug bounty remunerado. Podemos agradecerte públicamente (con tu permiso) y emitir una carta de recomendación por hallazgos serios si te resulta útil.

Legible por máquina

Nuestro security.txt está en /.well-known/security.txt.

Correo [email protected] or use the contact form.