Política de divulgación de vulnerabilidades de EchoStar

Proteger la información de nuestros clientes, vendedores, socios, empleados y de nuestra organización es una prioridad muy importante en EchoStar.

 

Reconocemos el valor que los clientes, los investigadores de seguridad y los expertos en seguridad aportan a nuestra organización a la hora de cumplir esta responsabilidad. Queremos que todos los interesados en colaborar se sientan cómodos cuando informen de inmediato alguna vulnerabilidad que puedan descubrir en nuestros activos. Recibimos las divulgaciones de vulnerabilidades con gratitud de acuerdo con esta política y agradecemos la oportunidad de remediar estos hallazgos con prontitud.

 

Esta política describe los sistemas y los tipos de investigación que se contemplan en esta política, cómo enviar informes de vulnerabilidad a EchoStar y el tiempo que los investigadores de seguridad deben esperar a solicitud de EchoStar antes de revelar las vulnerabilidades descubiertas, al margen de las comunicaciones con BugCrowd y EchoStar.

Pautas

EchoStar le pide encarecidamente que:

  • Haga todo lo posible para evitar violaciones de la privacidad y no menoscabar la experiencia del usuario, no interrumpir los sistemas de producción y no destruir ni manipular datos. No intente ingresar a cuentas que no le pertenecen. No intente acceder a la información privada de ningún usuario. No intente modificar ni destruir datos. No realice ataques de denegación de servicio de ningún tipo. No envíe malware, por ningún motivo.

  • Utilice exploits solo si son necesarios para confirmar una vulnerabilidad. No utilice un exploit para comprometer o exfiltrar datos, acceder a la línea de comandos o crear persistencia, ni para "pivotar" hacia otros sistemas. Si comprueba que existe una vulnerabilidad o encuentra alguno de los datos confidenciales que se indican más adelante, debe interrumpir sus pruebas y notificárnoslo cuanto antes.

  • Supervise de cerca todas las pruebas para garantizar que la integridad o disponibilidad de nuestros activos no se vea comprometida; si observa una disminución del rendimiento de nuestros activos, suspenda inmediatamente todas las pruebas y el uso de herramientas automatizadas.

  • Mantenga la confidencialidad de las vulnerabilidades descubiertas durante al menos 90 días calendario desde la fecha en la que BugCrowd valide su hallazgo.

  • No sea residente de ningún país con sanciones estadounidenses, según la lista publicada por el Departamento del Tesoro de los Estados Unidos.

  • No sea empleado ni contratista de EchoStar, sus marcas o empresas subsidiarias en los últimos 6 meses.

  • Compruebe que su investigación no infringe ninguna ley estadounidense o del país de origen donde realiza este trabajo.

  • Sea paciente durante todo el proceso de envío, validación y corrección; cuando BugCrowd haya validado su hallazgo, trabajaremos para corregirlo de manera prioritaria.

Ámbito de aplicación

Esta política se aplica a los siguientes sistemas:

 

1. Todos los dominios propiedad de EchoStar y cualesquiera de sus marcas o empresas subsidiarias, incluidas, entre otras:

  • EchoStar.com

  • Hughes.com

  • HughesNet.com

  • Dish.com

  • DishAnywhere.com

  • Sling.com

  • Boostmobile.com

  • OnTechSmartServices.com

  • GenMobile.com

2. Todos los productos de hardware y software asociados que hayan sido diseñados, desarrollados y fabricados por EchoStar, cualquiera de sus marcas o cualquiera de sus empresa subsidiarias.

 

3. Todas las aplicaciones publicadas en Google Play o en la App Store de Apple que estén asociadas con EchoStar, cualquier marca de EchoStar o cualquier empresa subsidiaria de EchoStar.

 

4. Cualquier vulnerabilidad asociada en la infraestructura.

 

5. Otras vulnerabilidades en cualquier otro activo propiedad de EchoStar con impacto demostrado.

 

Los servicios que no se indican de forma explícita en la lista anterior (por ejemplo, algún servicio conectado) quedan excluidos del ámbito de aplicación y no podrán someterse a ninguna prueba. Además, las vulnerabilidades que se detecten en sistemas de nuestros vendedores que no pertenezcan a EcoStar quedan fuera del ámbito de aplicación de esta política y deben informarse directamente al vendedor de acuerdo con su política de divulgación (si la hubiera).

 

Si no tiene claro qué sistema o punto de conexión está dentro del ámbito de aplicación o no, comuníquese con nosotros escribiendo a echostar-vdp-pro@submit.bugcrowd.com antes de comenzar con su investigación.

 

Los siguientes tipos de pruebas NO están autorizados y NO están incluidos en el ámbito de aplicación:

  • Pruebas de denegación de servicio de red (DoS o DDoS).

  • Pruebas físicas (por ejemplo, acceso a oficinas, puertas abiertas, tailgating), ingeniería social (por ejemplo, phishing, vishing), spam o cualquier otra prueba de vulnerabilidad de carácter no técnico.

  • Ataque Self-XSS (carga útil definida por el usuario).

  • Carga de malware.

Si encuentra alguno de los siguientes datos en nuestros sistemas mientras realiza pruebas contempladas en esta política, deténgase y notifíquenoslo de inmediato:.

  • Información de Identificación Personal

  • Información de red de propiedad del cliente​​​​​​​

  • Información financiera (por ejemplo, números de tarjetas de crédito o de cuentas de banco)

  • Información de propietario o secretos comerciales de empresas (de cualquiera de las partes)

Autorización

Si cumple esta política durante su investigación de seguridad, daremos por autorizada su investigación, trabajaremos con usted para entender y resolver el problema con rapidez y EchoStar no iniciará ni recomendará ninguna acción legal relacionada con su investigación.

 

Nota: esta política no otorga permisos para realizar actividades maliciosas. El acceso no autorizado, la interrupción de los servicios y cualquier otra acción malintencionada están estrictamente prohibidos y pueden ser objeto de acciones legales.

Informar una vulnerabilidad

EchoStar acepta y comenta los informes de vulnerabilidad mediante el formulario de envío de BugCrowd que aparece más abajo. Este formulario es el medio preferido (y el mejor) para enviar sus hallazgos. Cuando utiliza el formulario, podemos recibir la información necesaria para comprender y atender su hallazgo.

 

También puede enviar sus hallazgos por correo electrónico a echostar-vdp-pro@submit.bugcrowd.com siguiendo la guía para envíos de BugCrowd.

 

Por favor, mantenga actualizados sus informes de vulnerabilidad enviándonos cualquier información nueva en cuanto esté disponible.

 

Es posible que compartamos sus informes de vulnerabilidad con US-CERT y con cualquier proveedor o proyecto de código abierto que se haya visto afectado. Sin embargo, tenga en cuenta que las vulnerabilidades encontradas en softwares y sistemas de terceros (que no sean propiedad de EchoStar) quedan fuera del ámbito de esta política y, por lo tanto, deben informarse directamente a ese proveedor de acuerdo con su política de divulgación (si la hubiera).

Divulgación coordinada

EchoStar se compromete a corregir las vulnerabilidades descubiertas en un plazo de 90 días o menos tras la validación de BugCrowd.

 

Creemos que divulgar una vulnerabilidad antes de que se haya corregido tiende a aumentar el riesgo en vez de reducirlo, por eso le pedimos que se abstenga de compartir informes con otros mientras trabajamos para corregir el problema. Si cree que hay otras personas que deberían estar al tanto de su informe antes de que se complete la corrección, avísenos en el formulario o escribiendo a echostar-vdp-pro@submit.bugcrowd.com.

 

Si desea publicar un aviso luego de que hayamos corregido el problema, agradeceremos que nos dé la oportunidad de colaborar con usted para que la información confidencial quede suprimida; por ello le pedimos que nos avise con antelación si tiene planeada alguna publicación mediante el formulario o escribiendo a echostar-vdp-pro@submit.bugcrowd.com y que nos conceda un plazo razonable para revisarla y responder antes de que la divulgue.

Modificación de la política

EchoStar se reserva el derecho de actualizar y modificar esta política según sea necesario. Consulte esta página con regularidad para obtener la información más reciente.