Divulgación responsable / Política de divulgación de vulnerabilidades

Programa de recompensas por fallos – Cerrado temporalmente

A partir del 23 de octubre de 2025, nuestro programa público de recompensas por fallos se cierra temporalmente debido a la abrumadora demanda y al gran volumen de informes automatizados/de escáner. Puedes seguir enviando informes de seguridad, pero se tratarán sólo como informativos y no podrán optar a un pago monetario mientras el programa esté en pausa. Si crees que tienes un problema verificado y urgente que demuestra la capacidad de acceder o exfiltrar datos privados de usuarios, envíanos un correo electrónico a security@gowinston.ai.

Propósito

La prioridad de Winston AI es proteger los datos de los usuarios. No estamos llevando a cabo un programa promocional de recompensas por errores; esta página explica el proceso estricto y responsable para informar de problemas de seguridad reales y dentro del alcance.

Alcance (dentro del alcance)

  • app.gowinston.ai (aplicación de producción)
  • dev.gowinston.ai (entorno de desarrollo)
  • api.gowinston.ai (API pública)

Fuera de alcance

  • gowinston.ai (sitio de marketing público/informativo) – no se permiten recompensas ni pruebas.
  • Cualquier ingeniería social, phishing o intentos dirigidos a nuestro personal de apoyo o a terceros.

No informar (informativo / no recompensable) – ahórranos tiempo a ambos

Para mantener este programa centrado en problemas de alto impacto, por favor, no envíes informes sobre los elementos que se indican a continuación, a menos que se demuestre que forman parte de un exploit que conduce a la exfiltración de datos privados de usuarios. Los informes que sólo muestren uno de los puntos siguientes se tratarán como informativos y no serán elegibles para el pago.

No informes de lo siguiente (ejemplos):

  • Enumeración del correo electrónico / nombre de usuario (por ejemplo, diferentes mensajes de error o respuestas que revelen si existe una cuenta).
  • Diferencias de temporización o canales secundarios de temporización menores, a menos que estén encadenados a un PdC que exfiltre PII.
  • Cabeceras de seguridad ausentes o mal configuradas (Content-Security-Policy, X-Frame-Options, HSTS) cuando no permiten la exfiltración de datos.
  • Problemas menores de interfaz de usuario, clickjacking que requiere la interacción del usuario, o advertencias inseguras de CSP que no conducen a la exposición de PII.
  • Información que ya es pública o accesible a través de robots.txt, mapa del sitio o API públicas que exponen intencionadamente datos no sensibles.
  • Números de biblioteca/versión desactualizados o divulgaciones de versiones de software sin más (a menos que el exploit demuestre el robo de datos).
  • Salida automatizada del escáner sin pasos de PoC o reproducción clara verificados por humanos.
  • Informes de comportamiento de limitación de velocidad o intentos de fuerza bruta, a menos que permitan la adquisición de cuentas o la exportación de datos.
  • XSS de bajo impacto confinado a campos de vista previa controlados por el usuario que no pueden llegar a otros usuarios ni acceder a datos privados almacenados.
  • Ataques de denegación de servicio (DoS) o intentos de abuso volumétrico: no recompensamos las pruebas de DoS.
  • Técnicas de ingeniería social, phishing o dirigidas al personal. No están permitidas.
  • Vulnerabilidades en servicios o software de terceros que no tengas permiso para probar (informa de ellas al proveedor).
  • Relleno de credenciales / acceso a cuentas demostrado únicamente mediante el uso de credenciales filtradas de otros sitios vulnerados. Los informes que sólo muestren el acceso obtenido mediante credenciales reutilizadas (sin una vulnerabilidad distintiva en nuestros sistemas que permita ese acceso) son informativos y no son elegibles para el pago.
  • Solicitudes de asesoramiento general sobre seguridad, servicios de pentesting o preguntas no procesables (utiliza en su lugar support@gowinston.ai ).

Si crees que un problema informativo de los anteriores forma parte de un exploit mayor: incluye una PdC verificable que muestre cómo se utiliza ese problema para acceder o exfiltrar datos privados de los usuarios (redactada si es necesario). Si no puedes proporcionar una PdC con seguridad, ponte en contacto con security@gowinston.ai para que te oriente antes de seguir probando.

Lo que pagamos

Consideraremos recompensas discrecionales para vulnerabilidades verificadas que demuestren la capacidad de exfiltrar datos privados de usuarios a escala o permitan comprometer el servidor. Los datos privados de los usuarios incluyen direcciones de correo electrónico, contraseñas de cuentas o tokens equivalentes a contraseñas, y contenido subido por los usuarios.

Normas de admisibilidad

  • Los hallazgos que pueden ser recompensados incluyen vulnerabilidades que permiten:
    • Exportación masiva o recolección automatizada de registros de usuarios (por ejemplo, una API no autenticada o mal protegida que se pueda programar para extraer muchos registros);
    • Ejecución remota de código del lado del servidor, exportación completa de la base de datos u otro compromiso del servidor que pueda utilizarse para acceder a los datos almacenados de muchos usuarios; o
    • Cualquier vulnerabilidad que permita de forma demostrable el compromiso automatizado y repetible de un gran número de cuentas o archivos.
  • No apto para recompensa (tratado como informativo) a menos que el informador proporcione una PdC verificable que demuestre la escalabilidad/automatización:
    • Escenarios de toma de control de una sola cuenta que sólo afectan a una cuenta y no muestran un camino para automatizar o escalar;
    • Errores aislados de lógica/UI, canales laterales de temporización o errores que requieren la interacción del usuario y no pueden automatizarse para que afecten a muchos usuarios;
    • Salida del escáner o informes no procesables sin verificación humana de la PdC.
    • Cuentas a las que se ha accedido únicamente mediante relleno de credenciales o reutilización de credenciales procedentes de filtraciones externas: a menos que el informe demuestre una vulnerabilidad separada del lado del servidor (por ejemplo, un punto final que filtra credenciales o un bypass que permite el uso masivo de credenciales filtradas), estos informes son informativos y no son susceptibles de pago.

Requisito de prueba de impacto

Para ser considerados para el pago, los informes deben incluir una PdC verificable que demuestre con seguridad el impacto (se aceptan capturas de pantalla o registros redactados). No extraigas datos de usuarios reales. Si no puedes proporcionar una PdC de forma segura, ponte en contacto con security@gowinston.ai para que te oriente antes de seguir probando.

Reglas de enfrentamiento / Pruebas seguras

  • No exfiltrar datos de usuarios reales. Demuestra la prueba de concepto utilizando pruebas seguras y redactadas que demuestren el problema sin exponer a los usuarios.
  • No accedas, modifiques o borres el contenido de los usuarios.
  • Deja de hacer pruebas cuando te lo pida nuestro equipo de seguridad.
  • No realices denegación de servicio, pruebas destructivas ni ingeniería social.

Cómo presentar

Correo electrónico security@gowinston.ai con:

  • Breve resumen de la cuestión
  • Pasos para reproducir (PdC) o un enlace a un PdC grabado (redactado)
  • Evaluación del impacto (número aproximado de usuarios / tipos de datos afectados)

Dado que recibimos un gran volumen de envíos (muchos duplicados e informes de escáner automatizados), los acuses de recibo y la clasificación pueden retrasarse. Acusaremos recibo y daremos los siguientes pasos lo antes posible. Importante: si se nos ha enviado un informe cualificado sobre la misma vulnerabilidad antes que el tuyo, los informes duplicados subsiguientes se tratarán como informativos y no tendrán derecho a pago. Para evitar retrasos, incluye una PdC clara y verificable y no vuelvas a enviar el mismo problema.

Pagos y verificación

Los informes validados pueden optar a un pago discrecional (hasta 5.000 USD). Los importes de los pagos se determinan en función del impacto, la explotabilidad, las pruebas aportadas y la complejidad de la reparación. Los importes finales de las recompensas quedan a discreción de Winston AI y requieren una PdC verificada y una validación satisfactoria por parte de nuestro equipo de seguridad. Nos reservamos el derecho a rechazar o reducir el pago por informes duplicados, PdC de baja calidad o comportamiento abusivo.

Legal y puerto seguro

Si sigues las Normas de participación anteriores y actúas de buena fe para ayudarnos a proteger nuestros sistemas, no emprenderemos acciones legales por tus pruebas. Nos reservamos la discreción de rechazar el salvoconducto si las pruebas infringen nuestras normas o la legislación aplicable.

Política contra el acoso

Las solicitudes reiteradas no solicitadas, la extorsión o el acoso (incluidas las exigencias de pago, las amenazas o la divulgación pública coordinada para presionar el pago) serán ignoradas y podrán ser denunciadas. Este programa existe para gestionar responsablemente los informes de seguridad legítimos, no es un canal de ingresos ni de extorsión.

Ponte en contacto con

security@gowinston.ai