Descubre nuestro programa de Responsible Disclosure
Como banco directo, la seguridad en Internet es una cuestión fundamental para todos los que formamos parte de ING. Por eso, nuestros especialistas trabajan cada día para mejorar la seguridad de nuestra plataforma online.
Para contribuir a este objetivo hemos creado el programa de Responsible Disclosure. Una iniciativa que facilita el diálogo entre empresa e investigadores de seguridad, mediante la que pueden identificar y notificar de forma responsable posibles fallos relacionados con la seguridad de nuestro sitio web o software.
Esta identificación se realiza de acuerdo a una política establecida previamente, en la que se determinan las reglas y el alcance de la colaboración entre ambas partes.
¿Has descubierto algún tipo de vulnerabilidad en nuestros sistemas?
Si tienes conocimientos avanzados en seguridad informática y has descubierto algún tipo de vulnerabilidad en nuestros sistemas, te agradeceríamos que nos ayudes a mejorar nuestra seguridad reportando esta vulnerabilidad cuanto antes.
¿Qué puedes reportar?
Aceptamos todo tipo de vulnerabilidades que puedan suponer un riesgo para cualquiera de nuestros sistemas. Algunos ejemplos de estas vulnerabilidades son:
Ejecución remota de código.
Cross site scripting (XSS).
SQL Injection.
Cross-Site Request Forgery (CSRF).
Vulnerabilidades en el cifrado.
Autenticación bypass, acceso a datos no autorizados.
Evitar reportar
Las vulnerabilidades sin un informe de pruebas describiendo debidamente las evidencias encontradas y su posible explotación.
Vulnerabilidades encontradas en sitios de organizaciones que ya no formen parte de ING (unidades antiguas de negocio).
Nuestras políticas sobre le presencia o ausencia de registros SPF/DKIM/DMARC.
Vulnerabilidades de tipo Cross Site Request Forgery (CSRF) en páginas estáticas.
Redirección HTTP a HTTPS.
HTML no especifica el charset.
HTML usa charset no reconocidos.
Cookies sin el flag HttpOnly activado.
No utilización de HTTP Strict Transport Security (HSTS).
Clickjacking o la no existencia de X-Frame-Options en páginas de inicio de sesión.
Respuestas HTTPS cacheables en sitios que no disponen de capacidad para realizar transacciones financieras.
Enumeración de usuarios en sitios que no realizan transacciones financieras.
Servidores o versiones de aplicaciones de terceros anticuadas sin informes de pruebas que puedan evidenciar su posible explotación.
Reportes de cifrados SSL/TLS inseguros y otras configuraciones erróneas.
Vulnerabilidades genéricas relacionadas con software o protocolos que no dependen directamente de ING.
Ataques distribuidos de denegación de servicio (DDOS).
Spam o técnicas de ingeniería social.
Informes de escaneos periódicos, como los de analizadores de puertos.
¿Cómo puedes reportarnos una vulnerabilidad?
El canal oficial para reportar una vulnerabilidad es la plataforma Intigriti
Para conocer más detalles del programa de notificación responsable de vulnerabilidades de ING, puedes visitar https://app.intigriti.com/programs/ing/ing-responsible-disclosure/detail
Aunque hay muchas formas de reportar una vulnerabilidad, existen unas directrices mínimas que nos ayudarán a comprender rápidamente tu reporte. Por eso, siempre que sea posible, nos gustaría que nos indicaras lo siguiente:
URL completa donde has encontrado la vulnerabilidad.
Objetos involucrados en el hallazgo (por ejemplo, nombre de variables, filtros, etc).
Pasos a seguir para reproducir la vulnerabilidad. Este punto es muy importante ya que gracias a él, seremos capaces de entender y validar tu trabajo.
Las capturas de pantalla son siempre bienvenidas.
¿Qué haremos con el reporte que realices?
Uno de nuestros equipos de expertos en seguridad analizará tu descubrimiento y, en un plazo máximo de 2 días, recibirás un email con nuestra respuesta.
Nuestros expertos iniciarán entonces el estudio de tu reporte, un proceso del que te mantendremos informado en todo momento. Recuerda que, para cumplir con los requisitos de Responsible Disclosure, no está permitido revelar públicamente tu descubrimiento.
¿Qué cuestiones no serán atendidas en responsible-disclosure@ing.com?
El canal de contacto de Responsible Disclosure ha sido creado para recoger, de forma específica, todas aquellas incidencias relativas a la seguridad de nuestra plataforma. Por lo tanto, desde este buzón no atenderemos a otro tipo de cuestiones:
Quejas sobre servicios o productos de ING.
Preguntas sobre la disponibilidad de los sitios web de ING, tanto en canal móvil como en el tradicional.
Reportes de problemas relativos a cajeros.
Reportes sobre fraude o posible fraude.
Reportes sobre campañas de phishing.
Reportes sobre posibles virus o malware con referencia a nuestros sitios web.
¿Recibiré una recompensa tras reportar una vulnerabilidad?
En ING valoramos tu ayuda y compromiso. Por eso, si la vulnerabilidad que reportas es replicable por nuestro equipo siguiendo los pasos indicados, supone un riesgo para la compañía e implica un cambio en nuestros sistemas, recibirás una recompensa. La cuantía de la recompensa variará en función de la gravedad de la vulnerabilidad reportada, el tipo de página web (web estática o banca online) y la calidad del reporte recibido. Si la vulnerabilidad reportada supone un gran riesgo para la seguridad y continuidad del banco, la recompensa será considerablemente alta. Una vez confirmemos la veracidad de la información que nos has proporcionado, contactaremos contigo vía email para hacértela llegar.
¿Puedo reportar una vulnerabilidad de forma anónima?
Por supuesto. No estás obligado a darnos tus datos de contacto para reportar una vulnerabilidad. Sin embargo, ten en cuenta que en este caso no podremos hacerte llegar ningún tipo de respuesta sobre los próximos pasos a seguir, o acerca de si tu reporte es elegible o no para recibir una recompensa.
Política de privacidad
Tus datos de contacto nunca serán usados con otro fin diferente que actuar sobre el reporte que nos has hecho llegar. Por eso, a menos que nos veamos obligados por ley, no los compartiremos con terceros sin tu permiso.
Las reglas del Responsible Disclosure
Durante la investigación de una vulnerabilidad, es posible que tengas que realizar determinadas acciones punibles por la legislación española. Sin embargo, si estos actos son realizados sin ánimo de perjudicar a la entidad, de forma cuidadosa y de acuerdo a las normas establecidas, no existe obligación de reportarlos a las autoridades.
En todo caso, te recomendamos que tengas en cuenta estas reglas:
No se debe causar ningún daño a nuestros sistemas mientras se investiga una vulnerabilidad.
No está permitido el uso de ingeniería social para ganar acceso a un sistema.
En ningún momento se procederá a la interrupción parcial o total de ninguno de nuestros sistemas.
No revelar, en ningún momento de la investigación, datos de los clientes o del propio banco a un tercero.
No se dejará ninguna puerta trasera en ninguno de los sistemas.
No se realizarán cambios o borrará información de los sistemas. Si para la búsqueda de evidencias es necesario extraer algún dato del sistema, no copiar más de los necesarios. Si con un registro es suficiente, no copiar más.
No deberá realizarse ningún cambio en los sistemas comprometidos.
No intente llegar en los sistemas más lejos de lo necesario para el propósito de la investigación. En caso de que haya logrado acceder con éxito en los sistemas, no lo comparta con otras personas.
No podrá utilizarse ninguna técnica de fuerza bruta (por ejemplo, introducir repentinamente su contraseña) para obtener acceso a los sistemas.
No podrá utilizarse ninguna técnica que pueda afectar a la disponibilidad de nuestros servicios.
Si las vulnerabilidades reportadas han sido corregidas o han dado lugar a cambios en nuestros servicios, podría ser recompensado.
Vulnerabilidades detectadas por empleados o exempleados de ING son excluidas de cualquier tipo de recompensa.
Varios reportes para un mismo tipo de vulnerabilidad con unas mínimas diferencias, serán tratadas como un único reporte (solamente uno será recompensado).
Otras condiciones
Solo procesaremos vulnerabilidades reportadas en inglés o en español.
Ten en cuenta que, en caso de recibir una recompensa, requeriremos tus datos personales para poder hacer su entrega.
Si la vulnerabilidad que encontraste es reportada por otros usuarios, la recompensa será concedida únicamente a la persona que realizó el primer reporte.
Regulación del Responsible Disclosure
Si deseas una mayor información acerca de Seguridad IT, el Instituto Nacional de Seguridad (INCIBE) ha creado numerosas guías técnicas que puedes consultar en https://www.incibe.es/
Regulación internacional
Queremos advertirte de que la regulación sobre Responsable Disclosure es diferente en cada país. Por eso, si resides fuera de España y has encontrado vulnerabilidades en uno de nuestros sistemas, debes tener en cuenta que nuestra política no es aplicable en todos los países
Esto significa que, a pesar de haber actuado de acuerdo a la política de ING España, podría ser procesado por la justicia de ese país.
