Únete a la caza de vulnerabilidades
Adobe reconoce que la comunidad internacional de investigación de seguridad desempeña un papel fundamental en la protección de nuestra clientela y en el mantenimiento de la confianza en nuestra marca. En nuestro programa de recompensas por errores participan personas investigadoras de todo el mundo para identificar y notificar vulnerabilidades. Si has descubierto una vulnerabilidad de seguridad en un producto o servicio de Adobe, te animamos a que la notifiques lo antes posible.
Recompensas y reconocimientos
Directrices de pago
Adobe ofrece recompensas económicas a quienes denuncian vulnerabilidades de seguridad válidas a través de nuestro programa público de recompensas por errores. Los importes de dichas recompensas dependen de la gravedad, el impacto y la capacidad de explotación del problema notificado, de modo que las vulnerabilidades que más afectan a la seguridad son las que mayor remuneración otorgan.
Para obtener más información sobre nuestra estructura de recompensas y las vulnerabilidades elegibles, visita la página del programa.
Nota: En el siguiente gráfico se muestran los intervalos de pago para los productos de nivel 1 y 2 según el grado de gravedad.
Salón de la fama de personas que investigan la seguridad
Además de las recompensas económicas, homenajeamos a las principales personas colaboradoras en nuestro Salón de la fama de personas que investigan la seguridad, donde se reconoce a quienes han realizado contribuciones excepcionales para mejorar la seguridad de los productos y servicios de Adobe.
Alcance del programa
Estamos encantados de recibir denuncias de vulnerabilidades de seguridad que puedan afectar a la protección o privacidad de la clientela de Adobe. Para optar a una recompensa, debes denunciar vulnerabilidades de seguridad en uno o más de los siguientes productos y servicios de Adobe, incluidos, entre otros:
Denuncia de vulnerabilidades
Los equipos de seguridad de producto de Adobe y HackerOne revisan y validan todas las denuncias. Para agilizar nuestra investigación y los pagos, sigue estas directrices:
- Proporciona pasos claros y reproducibles al denunciar una vulnerabilidad, e incluye la siguiente información:
- Instrucciones paso a paso: describe los pasos que deben seguirse para reproducir el problema, desde el inicio de sesión (si procede) hasta la activación de la vulnerabilidad.
- URL y puntos finales específicos: facilita las ubicaciones exactas afectadas donde se produce el problema, incluidos los puntos finales de API.
- Comportamiento esperado frente al real: describe con claridad lo que debería suceder frente a lo que realmente sucede debido a la vulnerabilidad.
- Capturas de pantalla y vídeos (si es posible): las pruebas visuales ayudan a aclarar los pasos y el impacto.
- Cargas útiles y fragmentos de código: si se inyecta código (por ejemplo, XSS, SQLi), incluye la carga útil exacta utilizada.
- Detalles del navegador o entorno: especifica el sistema operativo, la versión del navegador o las herramientas que hayas empleado para reproducir el problema.
- Condiciones previas necesarias: indica los permisos de cuenta, configuraciones o ajustes necesarios para activar la vulnerabilidad.
- Incluye una prueba de concepto (PoC), preferiblemente un vídeo, con una sección denominada “impacto” para agilizar el proceso de revisión y validación.
- Consolida todos los hosts afectados en una sola denuncia cuando la misma vulnerabilidad afecte a múltiples hosts dentro del mismo activo o dominio. Las recompensas se otorgan por vulnerabilidad única, no por host afectado. Si se envían denuncias duplicadas, solo se tendrá en cuenta la primera que sea válida, mientras que las que se envíen después se marcarán como duplicadas.
- Utiliza el cifrado PGP para envíos confidenciales. La clave PGP está disponible aquí.
- Consulta nuestros términos y condiciones en la página del programa.
Para obtener una lista completa de los requisitos de las denuncias, consulta las Normas de participación en la página del programa.
Salón de la fama de personas que investigan la seguridad
Gana puntos del Salón de la fama para ascender en la clasificación y obtener un reconocimiento especial por tus contribuciones.
¿Qué es el Salón de la fama de personas que investigan la seguridad?
El Salón de la fama de personas que investigan la seguridad es una iniciativa que brinda la oportunidad de reconocer y homenajear a las personas investigadoras más influyentes, que han demostrado una dedicación extraordinaria a su trabajo y han contribuido a reforzar la protección de nuestros productos, servicios y clientes.
Invitamos a todas las personas que investigan la seguridad, desde las aficionadas hasta hackers éticos/as profesionales, a participar en el Salón de la fama mediante el envío de una denuncia al Programa de recompensas por errores de Adobe.
¿Cómo puedo ganar puntos?
Se otorgarán puntos de investigación por cada denuncia válida presentada al Programa de recompensas por errores de Adobe. Estos puntos se acumularán para obtener una puntuación final calculada al término de cada periodo de prueba. Para garantizar la igualdad de oportunidades para todo el mundo, los puntos de las personas investigadoras se restablecerán al comienzo de cada periodo de prueba.
¿Cómo funciona el proceso de puntuación?
Todas las denuncias válidas y únicas presentadas al Programa de recompensas por errores de Adobe recibirán puntos para el Salón de la fama según la tabla que se muestra a continuación. Se aplican el alcance y las exclusiones de la política estándar de Adobe.
Al final de cada periodo de prueba, se hará un recuento de los puntos totales de todas las personas investigadoras participantes y se anunciarán las diez mejores. Además de ser homenajeadas en la iniciativa del Salón de la fama, cada una de las diez personas con más puntos podrá elegir una de las siguientes recompensas (sujetas a cambios, con nuevas recompensas próximamente):
