Freddie Mac supervisa la actividad en nuestras aplicaciones, sitios web y otros sistemas informáticos como parte de nuestro programa general de seguridad informática. Creemos que la divulgación efectiva de las vulnerabilidades de seguridad requiere confianza mutua, respeto, transparencia e intereses comunes entre Freddie Mac y los investigadores de seguridad.

El objetivo de esta Política de divulgación de vulnerabilidad es para establecer pautas para los investigadores de seguridad y la comunidad en general para que sean responsables e informen las posibles vulnerabilidades en nuestros sistemas. Esta política apunta a promover la colaboración entre nuestra compañía y la comunidad de seguridad, propiciando así un entorno digital más seguro.

Alcance

Esta política es aplicable a todos los activos conectados a Internet, incluidas las aplicaciones web y cualquier infraestructura asociada que sea propiedad o este gestionada por nuestra organización.

Informes de Vulnerabilidad

Si usted cree haber identificado una vulnerabilidad de seguridad, por favor infórmela utilizando el enlace de correo electrónico que figura a continuación.

Infórmenos sobre posibles vulnerabilidades de seguridad.

Por favor, copie y pegue los siguientes en el cuerpo de su mensaje de correo electrónico y complételos lo mejor que pueda:

  • Título del informe: [título breve de la vulnerabilidad o asunto del correo electrónico]
  • Ubicación: [Servidor/URL/Aplicación]
  • Cualquier información técnica sobre cómo reproducir la vulnerabilidad:
  • Impacto potencial:
  • Descripción de la vulnerabilidad (CVE, si existe): [ayúdenos a comprender mejor de qué se trata esta vulnerabilidad].
  • Contexto adicional:
  • Dirección de correo electrónico del informante:
  • Compañía (si corresponde):

Nuestro proveedor de plataforma (Bugcrowd) realiza un análisis y un triaje inicial para validar las vulnerabilidades. El equipo de Bugcrowd Security proveerá recibo de cada informe de vulnerabilidad, conducirá una investigación exhaustiva y luego tomará las medidas adecuadas para su resolución.

Tenga en cuenta que los envíos de vulnerabilidades requieren adherencia a los términos y condiciones de Bugcrowd. Freddie Mac no ofrece un programa de recompensa por errores.

Alentamos la divulgación responsable y le solicitamos que respete las siguientes pautas.

  • No divulgue la vulnerabilidad fuera de este Programa de divulgación de vulnerabilidad.
  • No infrinja ninguna ley.
  • No interrumpa los servicios (DoS/DDoS).
  • No utilice, modifique o destruya cuentas o datos que no le pertenecen.
  • No introduzca software malicioso o de monitoreo.

Consideraciones legales

No autorizamos ninguna actividad que infrinja las leyes aplicables, reglamentaciones o pautas de esta política. Los informantes deben respetar las limitaciones legales correspondientes.

Exclusiones

Esta política no es aplicable a los ataques de ingeniería social, los intentos de phishing o cualquier otra acción que pueda comprometer la privacidad y seguridad de nuestros usuarios.