Programa de Recompensas por Bugs do TradingView

Se você quiser nos informar sobre uma vulnerabilidade, por favor, envie um relatório através do HackerOne.

O escopo do programa

Oferecemos recompensas por relatórios que cobrem vulnerabilidades de segurança em nossos serviços, infraestrutura, aplicativos da Web e móveis, como:

TradingView.com, bem como subdomínios

App nativo iOS

App nativo Android

Biblioteca Gráfica e Terminal de Negociação

Recompensas

Sua recompensa dependerá da vulnerabilidade descoberta e do impacto na segurança. Veja os detalhes abaixo.

Até^$1500

Para uma vulnerabilidade que afeta toda a nossa plataforma

Execução de código remoto (RCE)
Obtendo acesso de administrador
Vulnerabilidades com impacto significativo
Acesso irrestrito a arquivos ou bancos de dados locais
Falsificação de solicitação do lado do servidor (SSRF)
Divulgação crítica de informações

Até^$700

Para uma vulnerabilidade que não requer interação do usuário e afeta muitos usuários

Script entre sites armazenados (XSS) com um impacto significativo
Um desvio de autenticação que permite alterar os dados do usuário ou acessar dados privados
Referências a Objetos Diretos Inseguros (IDOR)

Até^$300

Para uma vulnerabilidade que requer interação do usuário ou afeta usuários individuais

Script entre sites (XSS), exceto XSS próprio
Falsificação de solicitação entre sites (CSRF)
Redirecionamento de URL
Manipulação da reputação do usuário

Observe que os valores da recompensa podem ser diferentes. Uma recompensa real pode variar dependendo da gravidade, genuinidade e possibilidades de exploração de bugs, bem como do ambiente e de outros fatores que afetam a segurança.

Vulnerabilidades de serviços auxiliares, como Blog etc. e vulnerabilidades de ambientes de não produção, como 'beta', 'staging', 'demo' etc., são recompensadas apenas quando afetam nosso serviço como um todo ou podem causar vazamento dados sensíveis ao usuário.

Você precisará de um ID do PayPal, pois usamos o PayPal para emitir recompensas.

Você NÃO receberá uma recompensa pela descoberta das seguintes vulnerabilidades:

Você não for o primeiro a relatar esta vulnerabilidade;
Vulnerabilidades no software do usuário ou vulnerabilidades que exigem acesso total ao software, conta(s), e-mail, telefone etc.;
Vulnerabilidades ou vazamentos em serviços de terceiros;
Vulnerabilidades ou versões antigas de software/protocolos de terceiros, proteção perdida e desvio das melhores práticas que não criam uma ameaça à segurança;
Vulnerabilidades sem impacto substancial na segurança ou possibilidade de exploração;
Vulnerabilidades que exigem que o usuário execute ações incomuns;
Divulgação de informações públicas ou não sensíveis;
Ataques homográficos;
Vulnerabilidades que exigem dispositivos e aplicativos enraizados, com jailbreak ou modificados.

Regras

Seja paciente, pois os relatórios são revisados em duas semanas e, às vezes, precisamos de mais tempo para corrigir o problema.
Um relatório de bug deve incluir uma descrição detalhada da vulnerabilidade descoberta e as medidas que precisam ser tomadas para reproduzi-la ou uma prova de conceito funcional. Se você não descrever os detalhes da vulnerabilidade, poderá ser necessário um longo tempo para analisar o relatório e/ou o relatório poderá ser rejeitado.
Você não deve usar ferramentas e scanners automatizados para encontrar vulnerabilidades, pois esses relatórios serão ignorados.
Você não deve realizar nenhum ataque que possa danificar nossos serviços ou dados, incluindo dados do cliente. DDoS, spam, ataques de força bruta não são permitidos.
Você não deve envolver outros usuários sem o consentimento explícito deles.
Você não deve executar ou tentar executar ataques não técnicos, como engenharia social, phishing ou ataques físicos contra nossos funcionários, usuários ou infraestrutura em geral.