Programa de Recompensa para Bug do
TradingView
Se você quiser nos informar sobre uma vulnerabilidade, por favor, envie um relatório através do HackerOne.
O escopo do programa
Oferecemos recompensas por relatórios que cobrem vulnerabilidades de segurança em nossos serviços, infraestrutura, aplicativos da Web e móveis, como:
TradingView.com, bem como subdomínios
App nativo iOS
App nativo Android
Soluções para Gráficos
App Desktop
Recompensas
Sua recompensa dependerá da vulnerabilidade descoberta e do impacto na segurança. Veja os detalhes abaixo.
Máxima
Para uma vulnerabilidade que afeta toda a nossa plataforma
- Execução de código remoto (RCE)
- Obtendo acesso de administrador
- Vulnerabilidades com impacto significativo
- Acesso irrestrito a arquivos ou bancos de dados locais
- Falsificação de solicitação do lado do servidor (SSRF)
- Divulgação crítica de informações
Média
Para uma vulnerabilidade que não requer interação do usuário e afeta muitos usuários
- Script entre sites armazenados (XSS) com um impacto significativo
- Um desvio de autenticação que permite alterar os dados do usuário ou acessar dados privados
- Referências a Objetos Diretos Inseguros (IDOR)
- Tomada de controle de subdomínio
Mínima
Para uma vulnerabilidade que requer interação do usuário ou afeta usuários individuais
- Script entre sites (XSS), exceto XSS próprio
- Falsificação de solicitação entre sites (CSRF)
- Redirecionamento de URL
- Manipulação da reputação do usuário
Observe que os valores da recompensa podem ser diferentes. Uma recompensa real pode variar dependendo da gravidade, genuinidade e possibilidades de exploração de bugs, bem como do ambiente e de outros fatores que afetam a segurança.
Vulnerabilidades de serviços auxiliares, como Blog etc. e vulnerabilidades de ambientes de não produção, como 'beta', 'staging', 'demo' etc., são recompensadas apenas quando afetam nosso serviço como um todo ou podem causar vazamento dados sensíveis ao usuário.
Regras
- Um relatório de bug deve incluir uma descrição detalhada da vulnerabilidade descoberta e as medidas que precisam ser tomadas para reproduzi-la ou uma prova de conceito funcional. Se você não descrever os detalhes da vulnerabilidade, poderá ser necessário um longo tempo para analisar o relatório e/ou o relatório poderá ser rejeitado.
- Por favor, apresente apenas uma vulnerabilidade por relatório, a não ser que você precise de vulnerabilidades em cadeia para causar efeito.
- Somente a primeira pessoa a relatar uma vulnerabilidade desconhecida será recompensada. Quando ocorrerem duplicidades, só premiaremos o primeiro relatório se a vulnerabilidade puder ser totalmente reproduzida.
- Você não deve usar ferramentas e scanners automatizados para encontrar vulnerabilidades, pois esses relatórios serão ignorados.
- Você não deve realizar nenhum ataque que possa danificar nossos serviços ou dados, incluindo dados do cliente. DDoS, spam, ataques de força bruta não são permitidos.
- Você não deve envolver outros usuários sem o consentimento explícito deles.
- Você não deve executar ou tentar executar ataques não técnicos, como engenharia social, phishing ou ataques físicos contra nossos funcionários, usuários ou infraestrutura em geral.
- Favor forneça relatórios detalhados e com as etapas para reprodução. Se o relatório não for suficientemente detalhado para reproduzir o problema, o problema não será elegível para uma recompensa.
- As múltiplas vulnerabilidades causadas por uma questão principal serão premiadas com uma recompensa.
- Por favor, faça um trabalho de boa-fé para evitar violações de privacidade, destruição de dados e interrupção ou comprometimento de nosso serviço.
Vulnerabilidades fora do escopo
As questões a seguir são consideradas como fora do escopo:
- Vulnerabilidades no software do usuário ou vulnerabilidades que exigem acesso total ao software, conta(s), e-mail, telefone etc.
- Vulnerabilidades ou vazamentos em serviços de terceiros;
- Vulnerabilidades ou versões antigas de software/protocolos de terceiros, proteção perdida e desvio das melhores práticas que não criam uma ameaça à segurança;
- Vulnerabilidades sem impacto substancial na segurança ou possibilidade de exploração;
- Vulnerabilidades que exigem que o usuário execute ações incomuns;
- Divulgação de informações públicas ou não sensíveis;
- Ataques homográficos;
- Vulnerabilidades que exigem dispositivos e aplicativos enraizados, com jailbreak ou modificados.
- Qualquer atividade que possa levar a interrupção de nossos serviços.
Há vários exemplos dessas vulnerabilidades que não são recompensadas:
- Dados de geolocalização EXIF não extraídos.
- Clickjacking em páginas sem atividades sensíveis.
- Cross-Site Request Forgery (CSRF) em formulários não autenticados ou formulários sem atividades sensíveis, sair do CSRF.
- Chaves fracas ou configuração de TLS sem uma Prova de Conceito válida.
- Problemas de injeção e content spoofing sem sinais de um vetor de ataque.
- Problemas de limite de taxa e de força bruta em endpoints sem autenticação.
- Ausência de flags HttpOnly ou Secure em cookies.
- Divulgação da versão do software. Banner de identificação de problemas. Mensagens de descrição de erros ou cabeçalhos (ex.: stack traces, erros de aplicação ou servidor).
- As vulnerabilidades públicas de dia zero que tiveram uma correção oficial há menos de 1 mês serão premiadas caso a caso.
- Tabnabbing.
- User existence. Enumeração do usuário, e-mail ou número de telefone.
- Falta de restrições de complexidade da senha.
Caçadores de Bugs
Gostaríamos de agradecer sinceramente aos pesquisadores listados abaixo por suas contribuições.
Aaron Luo
Kitab Ahmed
Jatinder Pal Singh