En Sonder, uno de nuestros principios fundamentales es "Mejorar continuamente", lo que se traduce directamente en nuestro programa de seguridad de la información que permite la protección de nuestros huéspedes y los datos de los clientes como máxima prioridad.
El equipo de seguridad de Sonder reconoce el valioso papel que desempeñan los investigadores de seguridad y los reporteros de errores honestos e independientes en la seguridad general de los sistemas conectados. Como resultado, alentamos el informe responsable de cualquier vulnerabilidad que pueda estar presente en nuestras propiedades para huéspedes, la aplicación móvil o el sitio web y los servicios de la empresa. Sonder se compromete a trabajar con investigadores de seguridad para verificar y abordar las posibles vulnerabilidades que se nos informen.
Revise estos términos antes de probar y/o informar una vulnerabilidad a Sonder. Brindaremos un puerto seguro a los investigadores de seguridad siempre que se adhieran a esta política y actúen de buena fe.
Si cree que su cuenta puede haberse visto comprometida o si sospecha un comportamiento fraudulento, no dude en ponerse en contacto con el equipo de soporte de Sonder en https://www.sonder.com/help .
Se deben tomar todas las medidas posibles para evitar los sistemas de producción y las unidades de invitados activas al realizar pruebas de vulnerabilidad para garantizar la seguridad de nuestros invitados. Cualquier unidad de invitados activa y/u ocupada está estrictamente fuera de los límites de las actividades de prueba de vulnerabilidad y penetración.
Comparta los detalles de la supuesta vulnerabilidad con el equipo de seguridad de Sonder enviando un correo electrónico a [email protected] . Puede usar nuestra clave Clave PGP para cifrar el correo electrónico.
PGP Fingerprint: ABA7 E6FE 70A1 58E3 97E7 ECE9 7441 6D99 D6B3 BA52
No se permite compartir detalles de vulnerabilidad fuera de nuestro proceso de informe formal y no resultará en la aceptación por parte de Sonder de su informe de vulnerabilidad.
Investigaremos todos los informes legítimos y haremos todo lo posible para corregir rápidamente cualquier vulnerabilidad. Le pedimos a cambio que usted:
Proporcione detalles de la vulnerabilidad, incluida la información necesaria para reproducir y validar la vulnerabilidad y una prueba de concepto (POC)
Hacer un esfuerzo de buena fe para evitar violaciones de privacidad, destrucción de datos e interrupción o degradación de nuestros servicios.
Déle al equipo de seguridad de Sonder un tiempo razonable para corregir el problema antes de hacer pública cualquier información.
Sonder fomenta el descubrimiento y el informe responsable y ético de las vulnerabilidades. Quedan expresamente prohibidas las siguientes conductas:
Cuando experimente, solo ataque las cuentas de prueba que usted controla. Un PoC que involucre innecesariamente cuentas de otros invitados o empleados de Sonder puede ser descalificado. También es una buena práctica decirnos las cuentas que está utilizando para las pruebas, incluso cuando están bajo su control;
No ejecute escaneos automáticos sin consultarnos primero;
No ponga a prueba la seguridad física de las oficinas, empleados, equipos, socios, proveedores o contratistas de Sonder;
No realice pruebas utilizando técnicas de ingeniería social (phishing, spear-phishing, pretextos, etc.);
No realice ataques DoS o DDoS. Lo invitamos y lo alentamos a que busque vulnerabilidades que puedan aprovecharse para ataques DoS o DDoS, simplemente no queremos que realmente explote el problema fuera de un entorno estrictamente controlado;
No ataque, de ninguna manera, a nuestros usuarios finales/invitados ni participe en el comercio de credenciales de usuario robadas;
No acceda ni intente acceder a datos, información o unidades de edificios físicos que no le pertenezcan;
No realice pruebas de vulnerabilidad o penetración de unidades de huéspedes, habitaciones de hotel o edificios de Sonder ocupados;
No violar ninguna ley aplicable ni incumplir ningún acuerdo para descubrir vulnerabilidades o utilizar medios poco éticos para obtener acceso y/o información;
Solo el primer informante es elegible para recibir una recompensa (consulte la sección Reconocimiento y recompensas a continuación).
Solo el primer informante es elegible para recibir una recompensa (consulte la sección Reconocimiento y recompensas a continuación).
Todas las partes de nuestras aplicaciones y servicios disponibles para clientes/huéspedes están dentro del alcance y son nuestro principal interés. Por favor, eche un vistazo a continuación para ver los objetivos dentro del alcance.
Sonder utiliza una serie de proveedores y servicios de terceros. Nuestro programa de divulgación no le da permiso para realizar pruebas de seguridad en sus sistemas. Las vulnerabilidades en los sistemas de terceros se evaluarán caso por caso y lo más probable es que no sean elegibles para una recompensa. Se excluyen los siguientes sistemas de terceros:
Ataques directos contra cualquier parte de la infraestructura de AWS
Llamarada de la nube
Okta
Los problemas de baja gravedad, puramente teóricos y de mejores prácticas no califican para la presentación. He aquí algunos ejemplos:
Mensajes de error descriptivos (, por ejemplo,, Stack Traces, errores de la aplicación o del servidor)
Adquisiciones teóricas de subdominios sin evidencia de respaldo
Códigos/páginas HTTP 404 u otros códigos/páginas HTTP que no sean 200
Fuga de información, toma de huellas dactilares/divulgación de pancartas en servicios comunes/públicos
Divulgación de archivos o directorios públicos conocidos (, por ejemplo,, robots.txt)
Clickjacking en una página pública y problemas que solo pueden explotarse mediante clickjacking
CSRF en formularios que están disponibles para usuarios anónimos (, por ejemplo,, el formulario de contacto)
Falsificación de solicitud entre sitios de cierre de sesión (cierre de sesión CSRF)
Presencia de la funcionalidad de 'autocompletar' o 'guardar contraseña' de la aplicación o del navegador web
Falta de indicadores Secure/HTTPOnly en cookies no confidenciales
Cookies sin caducidad adecuada
Captcha débil/Omisión de captcha
Página de contraseña olvidada fuerza bruta y bloqueo de cuenta no aplicado
OPCIONES Método HTTP habilitado
Descargas de archivos reflejados
Falta el control de caché
Ataque de encabezado de host
Lista de directorios
Faltan encabezados de seguridad HTTP (específicamente lista OWASP de encabezados HTTP útiles )
Problemas de SSL (BEAST, BREACH, ataque de renegociación, confidencialidad directa no habilitada, cifrados débiles)
No realizar limitación de velocidad en puntos finales sin inicio de sesión
Falsificación de contenido
Precarga HPKP/HSTS
Ejemplos genéricos de ataques de encabezado de host sin evidencia de la capacidad de atacar a una víctima remota
Informes que explotan el comportamiento o las vulnerabilidades de los navegadores obsoletos
Configuración de SPF, DKIM o DMARC y falsificación de correo electrónico
Secuencias de comandos de contenido mixto y XSS propio
Datos de geolocalización EXIF
Abra la API JSON de WordPress sin un exploit
Fuga de token de restablecimiento de contraseña (esto es conocido e implementaremos una solución)
Política de contraseñas
Clave API de Google Maps
Nota: Ejecute quien es busque antes de enviar cualquier problema en los dominios encontrados desde Subdomain Scanners.
Objetivo | Criticidad | Elegible para la Recompensa |
|---|---|---|
https://www.sonder.com | Crítico | Si |
*.sonder.com | Alto | Sí (consulte la nota anterior) |
https://apps.apple.com/us/app/sonder-take-stay-further/id1422914567 | Alto | Si |
https://play.google.com/store/apps/details?id=com.sonder.mahalo&hl=en_CA&gl=US | Alto | Si |
Sonder se complace en agradecer a los investigadores de seguridad que envían informes de vulnerabilidad y nos ayudan a mejorar nuestra postura de seguridad general en Sonder para nuestros empleados, clientes e invitados. Sonder puede ofrecer hasta $500 en créditos de SonderStays a discreción de Sonder para nuevos descubrimientos de naturaleza crítica.