Seguridad — Divulgación Responsable
Nos tomamos la seguridad en serio. Ayúdanos a proteger los datos de salud de viajeros.
Contacto
Alcance
- medova.health
- API routes at medova.health
- Aplicación Next.js
- Supabase REST API
Fuera de alcance
- Infraestructura Hetzner
- Servicios de terceros
- DoS/DDoS
- Ingeniería social
- Seguridad física
Reglas
- NO destruyas datos de producción
- NO ataques la disponibilidad
- NO accedas a cuentas ajenas
- Prueba solo con tu cuenta
- Reporta antes de publicar
Lo que buscamos
- SQL Injection, XSS, CSRF
- Auth bypass, escalación de privilegios
- IDOR
- Secrets/API keys expuestos
- CORS, headers faltantes
- Rate limiting bypass
- Open redirects
Recompensas
Medova es un proyecto pre-revenue. Ofrecemos:
- Hall of Fame en nuestro sitio
- Recomendación LinkedIn del CEO
- Referencia para portfolio
- Videollamada Q&A
- Reconocimiento a largo plazo para CVEs críticos
Proceso
- Envía reporte a [email protected]
- Confirmación en 48h
- Evaluación en 7 días
- Fix en 30 días (Crítico: 7 días)
- Hall of Fame tras el fix
Clasificación
| Level | Example |
|---|---|
| Critical | RCE, auth bypass total, fuga de PII |
| High | Escalación de privilegios, IDOR |
| Medium | Stored XSS, CSRF |
| Low | Headers faltantes, open redirect |
Infraestructura de seguridad
- 858+ políticas RLS
- CSP estricto
- HSTS con preload
- Rate limiting (Redis)
- ISO 27001 ISMS
- GDPR compliant
Hall of Fame
Sé el primero. Reporta una vulnerabilidad.