En Hapio, como aplicación accesible a una audiencia global, recibimos múltiples informes cada semana de varios investigadores de seguridad. Muchos de estos informes destacan preocupaciones similares y, aunque no tenemos un programa formal de recompensas, algunos investigadores esperan ocasionalmente una compensación por el mero hecho de ponerse en contacto con nosotros.

Nos tomamos muy en serio todos los informes de seguridad y nos aseguramos de que cada uno de ellos se revise minuciosamente. Sin embargo, como actor relativamente nuevo en el escenario global, debemos reconocer la realidad de los recursos finitos. Cada hora dedicada a tratar los informes de seguridad es una hora que no se invierte en mejorar la plataforma Hapio para nuestros usuarios. En vista de ello, hemos decidido revisar nuestra forma de tratar los problemas de seguridad.

A partir de diciembre de 2024, aplicaremos una política más clara que distinga entre los informes relacionados con nuestros dominios. La razón de esta decisión es sencilla: el sitio web hapio.io funciona de forma independiente de la tecnología de las plataformas hapio.app y hapio.net. Aunque somos plenamente conscientes de la importancia de proteger el sitio web hapio.io frente a posibles amenazas como la piratería informática, la desfiguración o la suplantación de identidad, nuestro principal objetivo seguirá siendo garantizar la seguridad y fiabilidad del portal hapio.app y de la API de reservas hapio.net, que sirven a nuestros valiosos clientes.

Hapio.io informa

Los informes relacionados con el dominio hapio.io y su tecnología asociada se clasifican como de baja prioridad. Aunque estos informes se revisarán, pueden sufrir retrasos en su procesamiento. Tenga en cuenta que no se conceden recompensas monetarias por los informes de hapio.io, ya que la mayoría de los hallazgos no son críticos cuando se evalúan en el contexto adecuado.

Animamos a los investigadores a centrarse en las vulnerabilidades de alto impacto en lugar de en los resultados generados únicamente por herramientas automatizadas como Snyk, OpenVAS o Nikto, que a menudo señalan problemas que, aunque dignos de mención, no constituyen amenazas graves.

Seguimos comprometidos con el mantenimiento de la seguridad de nuestro sitio web de cara al público y agradecemos el esfuerzo de los investigadores que contribuyen a su seguridad.

Informes de Hapio.app y Hapio.net

Los informes relativos a los dominios hapio.app y hapio.net y a la tecnología que sustenta esta plataforma se tratan con la máxima prioridad y los envíos se revisarán con prontitud.

• Se recomienda la validación:
  Para maximizar las posibilidades de reconocimiento, recomendamos utilizar el nivel gratuito de Hapio para confirmar que el problema es reproducible y cumple los criterios de vulnerabilidad antes de enviar el informe.
• Sinrecompensas monetarias:
  En este momento no ofrecemos recompensas monetarias.

Reconocimiento y confianza

Entendemos que la confianza es parte integral de la relación investigador-empresa. Para garantizar una evaluación justa, colaboraremos con un experto independiente para evaluar la gravedad de las vulnerabilidades y determinar la gravedad adecuada del informe. Este enfoque nos permite mantener la transparencia y la credibilidad.

Reconocemos los esfuerzos de los investigadores mediante incentivos no monetarios, como la inclusión en nuestro Salón de la Fama por divulgaciones impactantes. Aunque no podemos garantizar ninguna recompensa monetaria por el envío de información, nos comprometemos a reconocer las contribuciones que ayuden a proteger nuestros sistemas.

Normas de presentación

Para agilizar el proceso y garantizar respuestas puntuales, todas las declaraciones de seguridad deben enviarse a support@hapio.io. Los informes enviados a través de otros canales -como formularios de atención al cliente, chats de soporte técnico, redes sociales, GitHub o canales de descubrimiento de productos- no se procesarán y pueden ser marcados como spam.

• Plazos previstos:
  Nos esforzamos por realizar una evaluación inicial en un plazo de 5 días laborables, y los envíos considerados informes de alta prioridad recibirán un acuse de recibo en un plazo de 72 horas a partir de la evaluación. Los plazos no están garantizados y pueden variar en función de los acontecimientos del mundo real y de la carga de trabajo.
• Formato de envío:
  Por favor, incluya pasos detallados para reproducir el problema, pruebas que apoyen la vulnerabilidad y el impacto potencial. Incluir esta información nos ayuda a procesar su informe de manera eficiente y aumenta la probabilidad de reconocimiento.
• Inteligencia artificial:
  Si su informe ha sido generado o asistido por herramientas de inteligencia artificial (por ejemplo, ChatGPT, Claude, CoPilot, Perplexity), indíquelo y especifique en qué medida se ha utilizado la IA. Tenga en cuenta que las herramientas de IA a veces pueden producir vulnerabilidades inexactas o inexistentes. Para garantizar la calidad y exactitud de los envíos, absténgase de utilizar contenidos generados por IA siempre que sea posible, ya que no disponemos de los recursos necesarios para validar envíos de baja calidad generados por IA.