OLX Autos Chile

Cómo denunciar una vulnerabilidad de seguridad

En OLX Autos, nos tomamos muy en serio los problemas de seguridad. Si crees haber detectado una vulnerabilidad en nuestros productos, nos gustaría saberlo. Nuestro equipo trabaja continuamente para mejorar la seguridad de tu cuenta. Investigaremos cualquier denuncia y haremos todo lo posible para solucionar estos problemas lo antes posible. Si encontraste un problema que afecta solo a tu cuenta, llena el formulario de contacto del sitio OLX de tu país.

Cómo denunciar

Si deseas denunciar una vulnerabilidad en uno de los objetivos dentro del alcance, que se enumeran a continuación, contáctanos en la dirección security-olxautos@olx.com. Para permitirnos verificar la vulnerabilidad, proporciónanos detalles para revisarla, p. ej., capturas de pantalla, código o video. Te pedimos amablemente que no divulgues la vulnerabilidad hasta que recibas una notificación nuestra de que el problema se ha resuelto. Recibirás una respuesta no automatizada a tu comunicación inicial en un plazo de 72 horas para confirmar que hemos recibido el informe de vulnerabilidad y enviaremos actualizaciones frecuentes de los avances.

Objetivos dentro del alcance

  • *.olx.in
  • *.letgo.com
  • *.olx.id
  • *.otoplus.com
  • *.olxautos.cl
  • *.olxautos.com.mx
  • *.olxautos.in
  • *.olx-autos.com.ar
  • *.olxautos.com.co
  • *.olxautos.co.id

Las pruebas están autorizadas solo en los objetivos enumerados como dentro del alcance. Cualquier dominio/propiedad de OLX Autos que no aparezca en la sección de objetivos está fuera del alcance. Esto incluye todos los subdominios que no figuran arriba.Las aplicaciones de Android e iOS relacionadas con estos sitios también están dentro del alcance de estos objetivos. Cualquier informe deberá estar completamente documentado y ser reproducible.

Áreas de interés

  • Secuencias de comandos en sitios cruzados (XSS)
  • Falsificación de solicitudes entre sitios
  • Falsificación de solicitudes del lado del servidor (SSRF)
  • Inyección SQL
  • Ejecución remota de código (RCE)
  • Inyección de entidad externa XML (XXE) con impacto significativo
  • Problemas de control de acceso
  • Problemas de omisión de autenticación
  • Defectos de autorización
  • Escalada de privilegios
  • Problemas de cruce de directorios
  • Divulgación de información confidencial
  • Exposición de datos
  • Vulnerabilidades de la lógica empresarial

Fuera del alcance

Los siguientes tipos de informes se consideran fuera del alcance:

  • Ataques de denegación de servicio (DoS)
  • Hallazgos denunciados por herramientas automatizadas sin análisis adicional sobre cómo y qué es vulnerable
  • Vulnerabilidades que solo afectan a los usuarios de navegadores obsoletos o sin parches
  • Denuncias de spam

Recompensas y Salón de la Fama

Por el momento, OLX Autos reconoce los esfuerzos de los investigadores de seguridad al poner sus nombres en el Salón de la Fama página. Actualmente, no se ofrecen recompensas monetarias en este programa.