Política de divulgación de vulnerabilidades

Multi-State Lottery Association

Introducción

La Multi-State Lottery Association (MUSL) se compromete a garantizar la seguridad e integridad de los juegos de lotería multijurisdiccionales ofrecidos por sus loterías miembro y licenciatarias. Esta política tiene por objeto proporcionar a los investigadores de seguridad directrices claras para llevar a cabo actividades de descubrimiento de vulnerabilidades, y transmitir las preferencias de MUSL en la forma de presentar las vulnerabilidades descubiertas

Esta política describe qué sistemas y tipos de investigación están cubiertos por esta política, cómo presentar informes sobre vulnerabilidades y cuánto tiempo pedimos a los investigadores de seguridad que esperen antes de divulgar públicamente las vulnerabilidades.

Le animamos a que se ponga en contacto con nosotros en (security@musl.com) para informarnos de posibles vulnerabilidades en nuestros sistemas.

Autorización

Si hace un esfuerzo de buena fe por cumplir esta política durante su investigación de seguridad, consideraremos que su investigación está autorizada, trabajaremos con usted para comprender y resolver el problema rápidamente, y MUSL no recomendará ni emprenderá acciones legales relacionadas con su investigación. En caso de que un tercero inicie acciones legales contra usted por actividades realizadas de conformidad con esta política, le comunicaremos esta autorización.

Directrices

En virtud de esta política, se entiende por "investigación" las actividades en las que:

• Notifíquenos lo antes posible si descubre un problema de seguridad real o potencial.

• Haga todo lo posible para evitar violaciones de la privacidad, degradación de la experiencia del usuario, interrupción de los sistemas de producción y destrucción o manipulación de datos.

• Utilice los exploits únicamente en la medida necesaria para confirmar la presencia de una vulnerabilidad. No utilice un exploit para comprometer o exfiltrar datos, establecer un acceso persistente a la línea de comandos o utilizar el exploit para pivotar a otros sistemas.

• Proporcione un plazo razonable para resolver el problema antes de revelarlo públicamente.

• No envíe un gran volumen de informes de baja calidad.

Una vez que haya establecido que existe una vulnerabilidad o encuentre cualquier dato sensible (incluyendo información de identificación personal, información financiera, o información propietaria o secretos comerciales de cualquiera de las partes), debe detener su prueba, notificárnoslo inmediatamente y no revelar estos datos a nadie. De no hacerlo, MUSL podría emprender acciones legales

Métodos de prueba

Los siguientes métodos de prueba no están autorizados:

Pruebas de denegación de servicio de red (DoS o DDoS) u otras pruebas que dificulten el acceso o dañen un sistema o datos

Pruebas físicas (por ejemplo, acceso a oficinas, puertas abiertas, "tailgating"), ingeniería social (por ejemplo, phishing, vishing) o cualquier otra prueba de vulnerabilidad no técnica

Alcance

Esta política se aplica a los siguientes sistemas y servicios:

• musl.com
• powerball.com

Cualquier servicio que no figure expresamente en la lista anterior, como los servicios conectados, queda excluido del ámbito de aplicación y no se autoriza su comprobación. Además, las vulnerabilidades encontradas en los sistemas de nuestros proveedores quedan fuera del ámbito de aplicación de esta política y deben comunicarse directamente al proveedor de acuerdo con su política de divulgación (si la hubiera). Si no está seguro de si un sistema entra o no en el ámbito de aplicación, póngase en contacto con nosotros en security@musl.com antes de iniciar su investigación.

Aunque desarrollamos y mantenemos otros sistemas o servicios accesibles por Internet, pedimos que la investigación y las pruebas activas se realicen únicamente en los sistemas y servicios incluidos en el ámbito de este documento. Si hay algún sistema concreto que no esté incluido en el ámbito de aplicación y cree que merece ser probado, póngase en contacto con security@musl.com para comentarlo antes. Es posible que actualicemos el ámbito de aplicación de esta política con el tiempo.

Notificar una vulnerabilidad

La información enviada en virtud de esta política se utilizará únicamente con fines defensivos: para mitigar o corregir vulnerabilidades. Si sus hallazgos incluyen vulnerabilidades recién descubiertas que afectan a todos los usuarios de un producto o servicio y no únicamente a MUSL, podemos compartir su informe con la Agencia de Ciberseguridad y Seguridad de las Infraestructuras, donde será tratado bajo su proceso coordinado de divulgación de vulnerabilidades. No compartiremos su nombre ni su información de contacto sin su permiso expreso por escrito (basta con un correo electrónico).

Aceptamos informes sobre vulnerabilidades a través de security@musl.com. Los informes pueden enviarse de forma anónima. Si comparte información de contacto, acusaremos recibo de su informe en un plazo de 3 días laborables. Al enviar una vulnerabilidad, usted reconoce que no tiene ninguna expectativa de pago y que renuncia expresamente a cualquier reclamación de pago futura contra MUSL relacionada con su envío.

Lo que nos gustaría ver de usted

Para ayudarnos a clasificar y priorizar los envíos, recomendamos que sus informes:

Describan el lugar en el que se descubrió la vulnerabilidad y el impacto potencial de su explotación.

• Ofrezcan una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (son útiles los scripts de prueba de concepto, el código utilizado para el exploit y las capturas de pantalla).
• Se faciliten en inglés

Qué puede esperar de nosotros

Cuando decide compartir su información de contacto con nosotros, nos comprometemos a coordinarnos con usted de la forma más abierta y rápida posible.

• En un plazo de 3 días laborables, acusaremos recibo de su informe.
• En la medida de nuestras posibilidades, le confirmaremos la existencia de la vulnerabilidad y seremos lo más transparentes posible sobre los pasos que estamos dando durante el proceso de reparación, incluidos los problemas o retos que puedan retrasar la resolución.
• Mantendremos un diálogo abierto para debatir los problemas.

Preguntas

Las preguntas relativas a esta política pueden enviarse a security@musl.com. También le invitamos a ponerse en contacto con nosotros en la misma dirección de correo electrónico con sugerencias para mejorar esta política.