orange gradient

Divulgación Responsable de BHP

 7 de octubre de 2021

Como compañía de recursos líder en el mundo, BHP trabaja para garantizar la seguridad de nuestros sistemas de información y la integridad de todos los datos que poseemos. Valoramos y reconocemos la función de la comunidad investigadora en materia de Ciberseguridad y agradecemos cualquier informe o idea que pueda ayudar a identificar posibles vulnerabilidades en nuestros sistemas de información.

Nos esforzamos por abordar cada informe de vulnerabilidad que recibimos de manera oportuna. Mientras lo hacemos, exigimos que todos esos informes sean confidenciales y no se divulguen a terceros ni formen parte de revisiones de artículos o presentaciones de conferencias. Nos parece bien que se faciliten descripciones de alto nivel de la investigación, pero no los detalles de las vulnerabilidades identificadas..

Si descubre una posible vulnerabilidad de seguridad, le pedimos que nos lo comunique lo antes posible. Nos gustaría trabajar con usted para reforzar la confidencialidad, integridad y disponibilidad de nuestros sistemas.

Lo que le pedimos:

  • Informe a cybersecurity@bhp.com de cualquier hallazgo de posibles vulnerabilidades de la aplicación
  • No intente explotar ninguna vulnerabilidad potencial
  • No intente acceder, modificar o destruir ningún dato
  • No comparta los detalles del problema con otras personas hasta que se haya resuelto
  • No intente realizar pruebas de Denegación de Servicio (DoS o DDoS) de la red u otras pruebas que perjudiquen el acceso o dañen un sistema o datos
  • No intente realizar pruebas físicas (por ejemplo, acceso a la oficina, puertas abiertas, seguimiento), ingeniería social (por ejemplo, suplantación de identidad, vishing) o cualquier otra prueba de vulnerabilidad no técnica
  • Proporcione suficiente información que nos ayude a confirmar y remediar cualquier vulnerabilidad identificada. No utilice escáneres o herramientas automatizadas para identificar vulnerabilidades, ya que son ruidosas y producirán muchos falsos positivos.

Prometemos:

Acusar recibo de su informe de vulnerabilidad potencial de manera oportuna

Proceso de Presentación:

Cada informe de vulnerabilidad presentado a BHP será una "Presentación" Las propuestas deben enviarse a cybersecurity@bhp.com. Donde corresponda, por favor incluya su nombre, correo electrónico y número de teléfono móvil en el informe de vulnerabilidad potencial para que podamos ponernos en contacto con usted para cualquier aclaración necesaria. Incluya también el/los nombre/s y el/los correo/s electrónico/s de cualquier otra persona a la que haya revelado la presunta vulnerabilidad.

Por favor, incluya también la mayor cantidad posible de la información siguiente:

  • Tipo de problema (desbordamiento de la memoria intermedia, inyección SQL, secuencias de comandos entre sitios, etc.)Dirección IP o URL del Servicio en cuestión
  • Configuración y versión del software en cuestión
  • Cualquier configuración especial necesaria para reproducir el problema
  • Instrucciones paso a paso para reproducir el problema
  • Impacto del problema, incluido cómo un atacante podría explotar el problemaPlease note that we do not provide any form of compensation (including but not limited to monetary compensation or financial benefits) to individuals or organisations for identifying potential or confirmed security vulnerabilities.