¿Encontraste un problema de seguridad?
Dinos. Trabajaremos el fix contigo, daremos crédito a tu investigación y no perseguiremos acción legal contra investigadores de buena fe.
Envía correo a security@ttlongevity.com
Por favor incluye:
- Una descripción clara de la vulnerabilidad y su impacto potencial.
- Instrucciones paso a paso de reproducción, incluyendo URLs, requests o cuentas que usaste.
- Cualquier captura de pantalla, log o código de prueba de concepto de soporte (por favor no incluyas PHI real; usa una cuenta de prueba).
- Tu nombre o handle si quieres crédito, o una nota de que prefieres permanecer anónimo.
Si el problema es lo suficientemente sensible para que el correo se sienta incómodo, solicita nuestra llave PGP en el mismo mensaje y te responderemos con una antes de compartir detalles.
Nuestro cronograma de respuesta.
- 1Reconocimiento en 2 días hábiles. Un humano, no un robot, confirmará que recibimos el reporte y lo asignamos a un ingeniero específico.
- 2Triage en 5 días hábiles. Confirmaremos la vulnerabilidad, evaluaremos severidad y compartiremos un cronograma aproximado de fix. Si no podemos reproducirla, pediremos más información en lugar de cerrarla en silencio.
- 3Fix y verificación. Los problemas críticos típicamente se resuelven en 30 días; alta severidad en 60; media en 90. Te mantendremos en el loop y te pediremos verificar el fix en el ambiente afectado.
- 4Divulgación pública coordinada. Cuando el fix se envíe, publicaremos un breve writeup si es apropiado — con crédito para ti, a menos que hayas pedido permanecer anónimo — y te damos la bienvenida a publicar el tuyo.
Qué está dentro del alcance.
www.ttlongevity.com— el sitio de marketing (este sitio).beta.ttlongevity.com— la aplicación TTL en ejecución.- Cualquier endpoint de API propiedad de TTL alcanzable desde la aplicación.
- Manejo de autenticación y sesiones (JWT, flujos OAuth).
Qué está fuera del alcance.
- Servicios de tercero (Stripe, infraestructura Render, proveedores OAuth, APIs de proveedores IA) — por favor reporta esos al vendor directamente.
- Pruebas volumétricas de denegación de servicio. No las hagas.
- Ingeniería social del staff de TTL o nuestros clientes.
- Ataques físicos a propiedad de TTL o datacenters de la nube.
- Reportes basados puramente en headers de seguridad faltantes sin un impacto demostrado.
Si actúas de buena fe, no iremos por ti.
No perseguiremos acción legal, no suspenderemos cuentas, ni contactaremos a tu empleador sobre investigación de seguridad que sea:
- Conducida en tus propias cuentas de prueba, no en datos de otros usuarios.
- Limitada a lo necesario para demostrar el problema — no necesitas hacer dump de tablas, acceder a PHI en bulk o exfiltrar datos para hacer un punto.
- Reportada a security@ttlongevity.com antes de hacerse pública.
- Cumplir con leyes y regulaciones aplicables en tu jurisdicción.
La PHI de usuarios reales nunca es un objetivo aceptable. Si descubres que una vulnerabilidad da acceso a datos de otros usuarios, detente, documenta la ruta y repórtala — nosotros manejaremos la limpieza.
Estados Unidos: la investigación de buena fe dentro de este alcance es consistente con la política del Departamento de Justicia de EE.UU. de mayo 2022 sobre el Computer Fraud and Abuse Act (18 U.S.C. § 1030), que instruye a los fiscales federales a no presentar cargos contra investigación de seguridad de buena fe. No reclamaremos contra ti bajo el CFAA, las disposiciones anti-elusión del DMCA, ni leyes estatales análogas, por actividad que cumpla las condiciones anteriores.
México: no perseguiremos investigación de buena fe dentro de este alcance bajo los artículos 211 bis 1 a 211 bis 7 del Código Penal Federal (acceso ilícito a sistemas y equipos de informática) ni bajo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Te pedimos reportar a security@ttlongevity.com antes de divulgar públicamente.
Ayúdanos a mantener TTL seguro.
Envíanos un write-up. Trabajaremos el fix contigo y daremos crédito a tu investigación.