Grupo Kinépolis | Bug Bounty

El programa Bug Bounty de Grupo Kinépolis forma de parte la plataforma Intigriti. Como resultado, todas las presentaciones de Kinépolis Bug Bounty deben realizarse para su revisión a través del portal Intigriti.

Recibimos cualquier informe de investigadores que muestre una vulnerabilidad potencial en uno de nuestros servicios y responderemos en un plazo máximo de dos semanas, probablemente más rápido.


Categorías de recompensas

Los pagos de recompensas están determinados por el nivel de acceso o ejecución alcanzado por el error y la calidad del informe:

Recompensa de seguridad


 

Bajo

Medio

Alto

Crítico

Excepcional

Nivel 2

0€

150€

750€

2.500€

5.000€

Nivel 3

0€

750€

375€

1.250€

2.500€


Evaluación de la gravedad

Excepcional

  • Ejecución de Código Remoto

Crítico

  • Inyección SQL
  • Acceso a todos los datos de los clientes

Alto

  • Entradas gratis para ver una película
  • Suplantación de otro usuario (un usuario por vez)
  • Acceso a clientes específicos

Medio

  • Manipulación de contenido público (por ejemplo, carteles de películas / tráiler de películas / descripción de la película)

Bajo

  • Scripting y automatización
  • Cifrado débil de Certificados
  • Clickjacking
  • XSS que requiere ingeniería social

Informativo

  • Debug stacktrace

También valoramos los reportes en función del impacto en el negocio.


Forman parte del programa

Dominios

*.megatix.be

Nivel 2

Url

www.kinepolis.be

Nivel 2

Url

www.kinepolis.ch

Nivel 2

Url

www.kinepolis.com

Nivel 2

Url

www.kinepolis.es

Nivel 2

Url

www.kinepolis.fr

Nivel 2

Url

www.kinepolis.lu

Nivel 2

Url

www.kinepolis.nl

Nivel 2

Url

business.kinepolis.be

Nivel 3

Url

business.kinepolis.lu

Nivel 3

Url

business.kinepolis.nl

Nivel 3

Url

com.inthepocket.kinepolis

Nivel 3

Android

kinepolis/id368204284

Nivel 3

iOS

shop.kinepolis.be

Nivel 3

Url

shop.kinepolis.es

Nivel 3

Url

shop.kinepolis.fr

Nivel 3

Url

shop.kinepolis.lu

Nivel 3

Url

www.kinepolis.biz

Nivel 3

Url

www.kinepolisempresas.com/

Nivel 3

Url

customersupport.kinepolis.com

Sin recompensa

Url

egaming.kinepolis.es

Sin recompensa

Url

Quedan fuera del alcance del programa

Los siguientes dominios no califican para una recompensa:

  • openx.kinepolis.com
  • l.kinepolis.com
  • dev.kinepolis.com
  • jobs.kinepolis.com
  • public UAT acceptance environments

Tampoco califican las siguientes prácticas:

  • Ausencia de una política fuerte de contraseñas
  • Ausencia de cabeceras (headers) de seguridad (a menos que la falta de una de ellas sea la causa directa de una vulnerabilidad)
  • Funcionalidad de autocompletado en formularios
  • Divulgación de información no relevante
  • Exposición interna de IPs
  • Mensajes de error descriptivos (información de seguimiento de pila, descripción completa de la ruta de acceso)
  • Falta del encabezado X-FRAME-OPTIONS en páginas estáticas o páginas que no contienen acciones peligrosas o confidenciales
  • Cualquier forma de DoS
  • Spamming
  • Ataques de enumeración de usuarios y otros irrelevantes
  • Vulnerabilidades reportadas por herramientas automatizadas sin análisis adicionales
  • Vulnerabilidades que requieren de ingeniería social compleja
  • Ingeniería social de nuestros empleados/soporte
  • Self-XSS
  • XSS no explotable en un navegador actualizado
  • Inyección de contenido si el único escenario de ataque es la ingeniería social
  • Errores que requieren que su objetivo abra las herramientas de desarrollo de un navegador
  • Errores que requieren que un atacante tenga acceso físico al dispositivo o al tráfico de red de destino
  • Configuraciones SSL de cifrado débil e informes de análisis SSL/TLS
  • CSRF con bajo impacto
  • Vulnerabilidades 0 day en software y que no se han divulgado públicamente durante más de tres meses
  • Ausencia de la cabecera de seguridad HTTPOnly en las cookies
  • Paneles de inicio de sesión accesibles al público
  • Abrir puertos sin una prueba de concepto que demuestre vulnerabilidad
  • La aplicación de comunicación interna "Kinetalks" está completamente fuera de su alcance
  • Ficheros públicos xmlrpc.php

Fuera del alcance en entorno móvil:

  • Enlaces compartidos filtrados a través del portapapeles del sistema
  • Los URIs filtrados porque una app maliciosa tiene permiso para ver los URIs abiertos
  • Ausencia de "certificate pinning"
  • Datos confidenciales en el request body cuando están protegidos por TLS
  • La falta de ofuscación está fuera del alcance
  • Divulgación del Path en el binario
  • Crashes debidos a URL Schemes mal formados
  • Falta de controles de protección binaria (anti-debugging), SSL pinning móvil
  • Ausencia de Snapshot/Pasteboard
  • Ausencia de API key utilizada para actividades no sensibles


Fuente: https://www.intigriti.com/programs/kinepolis/website/detail