Wishlist

Al hacer clic en el corazón al lado de un producto, lo agrega a la lista de deseos.

Informar de un fallo de seguridad

Hacemos todo lo posible para mantener la seguridad en nuestros sistemas. Si aun así encuentra algún problema en nuestra seguridad, notifíquenoslo para que podamos solucionarlo inmediatamente. A esto lo llamamos informar de una vulnerabilidad (también conocido como divulgación coordinada de vulnerabilidades y divulgación responsable).

¿Cómo puede informar de un problema?

  • Diríjase a security@anthura.nl. Si esto no es posible, llámenos al +31 (0)10 529 19 19.
  • Facilítenos toda la información posible (una descripción detallada con direcciones IP, registros, capturas de pantalla, etc.) para ayudarnos a reproducir y solucionar el problema.
  • Facilítenos sus datos de contacto, un número de teléfono o una dirección de correo electrónico. Así podremos ponernos en contacto con usted si queremos saber más.

¿A qué debe prestar atención?

  • No comente con nadie la situación.
  • Destruya los datos que se le hayan proporcionado.
  • No vaya más allá de lo necesario para demostrar el problema.
  • No se aproveche de la filtración de datos. De lo contrario, le denunciaremos.

¿Qué no hace falta que denuncie?

  • Ingeniería social.
  • Agotamiento de recursos/Denegación de servicio (distribuido).
  • Ataques físicos (en persona).
  • Situaciones que no puedan reproducirse.
  • Explotaciones que no se validan con un segundo método/ que la herramienta A indique vulnerabilidad, mientras la herramienta B indica que todo está bien.
  • Problemas estéticos, por ejemplo que el sitio no se visualice bien en determinado navegador (puede informar de este tipo de problemas a communicatie@anthura.nl).
  • Situaciones relacionadas con el usuario, por ejemplo, dejar la estación de trabajo desatendida, combinaciones de clics o teclas.
  • Listados simples y números de versión de SO, servicios y puertos.
  • Archivos de acceso público que deben ser de acceso público.
  • Ausencia de la bandera HTTP-only en cookies que no contienen información sensible.
  • Mala configuración de TLS sin prueba de concepto para explotar esta vulnerabilidad.
  • Registros SPF, DKIM o DMARC incompletos o ausentes.
  • Servicios que se ejecutan en proveedores externos (consulte previamente la página de divulgación responsable del proveedor).
  • Direcciones de correo electrónico encontradas en una filtración de datos en un tercero.
  • Vulnerabilidades para las que se hayan publicado parches en las últimas 2 semanas.
  • Redireccionamientos por URL (a una página válida).
  • Suplantación de contenido local/clickjacking.
  • Direcciones IP registradas públicamente.
  • Archivos públicos y filtración de información en metadatos.
  • Ausencia de cabeceras de seguridad, opciones y banderas
  • Versiones obsoletas sin pruebas de explotación

Problemas conocidos

También hay problemas que ya conocemos y en los que estamos trabajando o que reconocemos como riesgos aceptados. No nombramos estos problemas en el sitio web. Sin embargo, nuestro equipo de asistencia está al tanto de ellos y se lo indicará. En consecuencia, no se tratará el problema.

    ¿Cómo tramitamos su informe?

    • Le enviaremos un correo electrónico en el plazo de 1 día laborable para comunicarle que hemos recibido su mensaje.
    • Le enviaremos un correo electrónico en el plazo de 5 días laborables con una respuesta relevante y la fecha en la que esperamos resolver el problema. Lo resolveremos lo antes posible, pero en cualquier caso en un plazo de 3 meses.
    • Le mantendremos informado de los progresos.
    • Decidiremos junto con usted si publicamos algo al respecto. Solo mencionaremos su nombre si usted así lo desea.

    Seguridad.txt

    Con la publicación del RFC 9116 a principios de este año, ahora se dispone de una forma inequívoca para que las organizaciones publiquen sus políticas de divulgación de vulnerabilidades sus contactos. Para ello, se ha ideado un formato de texto legible tanto por máquinas como por humanos, publicado en el sitio web, en el archivo security.txt. Encontrará nuestro archivo security.txt aquí: https://www.anthura.nl/.well-known/security.txt.