DESCRIPCIÓN DEL PROGRAMA 

ElectionGuard es un kit de desarrollo de software (SDK) de código abierto que hace que la votación sea más segura, transparente y accesible. El programa de recompensas de ElectionGuard invita a los investigadores de todo el mundo a identificar vulnerabilidades de seguridad en repositorios de ElectionGuard específicos y a compartirlas con nuestro equipo. Los envíos que cumplan los requisitos podrán optar a premios que oscilan entre 500 y 15 000 USD. 

Este programa de recompensas está sujeto a estos términos y a los que se indican en los Términos y condiciones de los programas de recompensas de Microsoft.

SERVICIOS Y PRODUCTOS DENTRO DEL ÁMBITO DEL PROGRAMA 

El SDK ElectionGuard incluye varios repositorios, componentes e implementaciones de referencia para guiar a quienes lleven a cabo implementaciones. Los siguientes componentes y tipos de vulnerabilidades están actualmente dentro del ámbito del programa de recompensas. A medida que se desarrollen más componentes, actualizaremos el ámbito del programa de recompensas para premiar más investigaciones.    

  • Especificación y documentación de ElectionGuard
    : errores matemáticos en la especificación que den lugar a una vulnerabilidad en la elección; por ejemplo, los siguientes:
    • Procedimientos matemáticos de comprobación de pruebas que indiquen que una prueba es válida cuando, en realidad, no lo es.
    • Transmisión de datos que pueda permitir que se descubran los votos. 
    • Transmisión de datos que puede permitir el descubrimiento no deseado de claves secretas de elección, claves secretas de elección parciales o claves privadas auxiliares.
  • Implementación de comprobador de referencia
    : vulnerabilidades como las siguientes (entre otras): 
    • Entradas en el comprobador de referencia que no representan elecciones válidas, pero el comprobador las notifica como válidas. 
  • SDK ElectionGuard (API de Python)
    : criptografía e implementación en la biblioteca de Python; por ejemplo:
    • Errores en el código de generación o comprobación de pruebas.
    • Ataques que permiten el descubrimiento no deseado de claves privadas o votos no cifrados observando o manipulando los mensajes del SDK.
    • Secuencias de llamadas al proceso de la API de cifrado de votos API en el orden previsto que dan lugar a una elección que no se descifra o no se verifica.
    • Vulnerabilidades en la ceremonia de claves o la ceremonia de descifrado o procesamiento que dan lugar a una elección que no se descifra o no se verifica. 

¿QUÉ REQUISITOS DEBEN CUMPLIR LOS ENVÍOS? 

El objetivo del programa de recompensas por la detección de errores es descubrir vulnerabilidades importantes que tengan un impacto directo y demostrable en la seguridad de ElectionGuard y los datos de los usuarios que lo utilizan. Los informes sobre vulnerabilidades que se envíen deben cumplir los siguientes criterios para que puedan optar a un premio de recompensa: 

  • Identificar una vulnerabilidad que no se haya notificado antes o de la que Microsoft no haya tenido conocimiento de ningún otro modo.
  • Esa vulnerabilidad debe ser de una gravedad crítica o importante que no se haya notificado antes y debe reproducirse en alguno de los productos o servicios que entran dentro del ámbito del programa.
  • Identificar una vulnerabilidad que no se haya notificado antes en versión más reciente del SDK ElectionGuard en los repositorios que están dentro del ámbito del programa. 
  • Incluir una prueba de concepto (PoC) clara y concisa, por escrito o en vídeo, que demuestre la forma en la que esta vulnerabilidad o este error podría aprovecharse para lograr un impacto en la seguridad que esté dentro del ámbito del programa. 
    • Esto permite revisar los envíos con la mayor rapidez posible y favorece la obtención de premios de recompensa superiores.

 Microsoft, a su entera discreción, puede aceptar un envío o rechazarlo si determina que no cumple estos criterios.

¿CÓMO SE DETERMINAN LOS IMPORTES DE LOS PAGOS? 

Los premios de recompensa oscilan entre 500 y 15 000 USD. Microsoft, a su entera discreción, puede conceder premios superiores en función de la gravedad y el impacto de la vulnerabilidad y la calidad del envío. Los investigadores que proporcionen envíos que no cumplan los criterios para obtener un premio de recompensa pueden obtener un reconocimiento público si su envío da lugar a que se corrija una vulnerabilidad.

 

Impacto en la seguridad

Calidad del informe

Gravedad

Crítica o importante

Moderada o baja

Elevación de privilegios

Contenido completo 

Línea de base 

15 000 USD

3000 USD

0 USD

 

Revelación de información

Contenido completo 

Línea de base

15 000 USD 

3000 USD

0 USD

 

Error de diseño de la seguridad

Contenido completo 

Línea de base

8000 USD 

1.000 USD

0 USD

 

Suplantación de identidad/alteración

Contenido completo 

Línea de base

3000 USD 

500 USD

0 USD

 

Ataque de denegación de servicio remoto

Contenido completo 

Línea de base

3000 USD 

500 USD

0 USD

 

Impacto en la seguridad

Calidad del informe

Premio

La documentación o los ejemplos que incluye son inseguros o promueven la inseguridad. 

Contenido completo

Línea de base

1.000 USD

500 USD

Contenido completo: incluye todos los componentes necesarios que se indican en la sección “¿Qué requisitos deben cumplir los envíos” de este programa de recompensas. 

Línea de base: incluye algunos de los componentes, pero el contenido está incompleto, es impreciso o es difícil de comprender o reproducir. Somos conscientes de que algunos errores son extremadamente difíciles de reproducir y comprender, y esto se tendrá en cuenta cuando se valore la calidad de un envío.  

VULNERABILIDADES FUERA DEL ÁMBITO DEL PROGRAMA   

Microsoft está encantado de recibir todos los envíos y revisarlos caso por caso, pero es posible que algunos envíos y tipos de vulnerabilidades no cumplan los requisitos para obtener un premio de recompensa. Los siguientes son algunos de los problemas más comunes de baja gravedad o que están fuera del ámbito del programa que, normalmente, no ganan premios de recompensa:

  • Vulnerabilidades que se han divulgado públicamente y que tanto Microsoft como la amplia comunidad de expertos en seguridad ya conocen. 
  • Patrones o categorías de vulnerabilidades para los que Microsoft esté investigando activamente mitigaciones más amplias.
  • Vulnerabilidades en cualquier versión que sea anterior a la rama maestra actual. 
  • Vulnerabilidades basadas en la configuración o la acción del usuario, por ejemplo: 
    • Vulnerabilidades que requieren una acción extensa o improbable del usuario. 
    • Vulnerabilidades que deshabiliten o no utilicen los mecanismos de mitigación integrados. 
  • Vulnerabilidades que existen en repositorios que están fuera del ámbito del programa o en código de demostración, PoC o implementación de referencia.
  • Vulnerabilidades asociadas a versiones en desuso, como la implementación de C.

Nos reservamos el derecho a aceptar o a rechazar cualquier envío si determinamos, a nuestra entera discreción, que entra dentro de alguna de estas u otras categorías de vulnerabilidades, incluso si puede optar a una recompensa de otro modo. 

INFORMACIÓN ADICIONAL  

Para obtener más información, consulte las preguntas más frecuentes

 

HISTORIAL DE REVISIONES

  • ​​​​​16 de octubre de 2019: Lanzamiento del programa.
  • 15 de junio de 2020: Se actualiza el ámbito del programa para incluir el SDK ElectionGuard (API de Python) y se agrega la clasificación de la gravedad a la tabla de premios.