Cómo reportar
Enviá un email a soporte@tucora.com.ar con asunto "Security Report". Incluí:
- Descripción de la vulnerabilidad
- Pasos para reproducirla
- Impacto potencial
- Versión de la app y dispositivo donde la encontraste
- Tu nombre o pseudónimo (para reconocimiento opcional)
Respondemos dentro de las 72 horas hábiles con un acuse de recibo. Resolución estimada según severidad: 7-30 días.
Compromiso (safe harbor)
Si actuás de buena fe siguiendo esta política, TuCora se compromete a:
- No iniciar acciones legales contra vos por la investigación realizada.
- Trabajar en forma colaborativa para entender y resolver el issue.
- Reconocerte públicamente (con tu permiso) en nuestro Hall of Fame.
Alcance (in-scope)
- App móvil TuCora (Android, package
com.matias.cora) - Sitio web tucora.com.ar y subdominios
- Edge Functions de Supabase del proyecto
- Tablas y políticas RLS de la base de datos
Fuera de alcance (out-of-scope)
- Vulnerabilidades en proveedores de terceros (Supabase, Google, RevenueCat, Netlify) — reportalas directamente a ellos
- Ataques de denegación de servicio (DoS/DDoS)
- Ingeniería social, phishing contra empleados o usuarios
- Accesos físicos a dispositivos
- Vulnerabilidades en dispositivos rooteados/jailbroken
- Falta de "best practices" sin impacto demostrable (rate limiting suave, headers cosméticos, etc.)
Lo que pedimos
- No accedas a datos de otras personas usuarias más allá de lo necesario para demostrar la vulnerabilidad.
- No degrades el servicio para terceros.
- No publiques la vulnerabilidad sin antes haberla reportado y dado un tiempo razonable de fix (90 días estándar).
- Eliminá cualquier dato al que accidentalmente hayas accedido.
Programa de bug bounty
Actualmente TuCora no ofrece recompensas monetarias por reportes de seguridad. Sí ofrecemos:
- Reconocimiento público (Hall of Fame)
- 1 año de Premium gratuito por reportes válidos de severidad media o alta
- Premium de por vida por reportes válidos de severidad crítica
security.txt
Estos datos están publicados en formato estándar RFC 9116:
https://tucora.com.ar/.well-known/security.txt
Hall of Fame
Aún no tenemos reportes. Esta sección se actualizará a medida que la comunidad de seguridad nos ayude.