Programa de Recompensa para Bug do
TradingView

Se você quiser nos informar sobre uma vulnerabilidade, por favor, envie um relatório através do HackerOne.

O escopo do programa

Oferecemos recompensas por relatórios que cobrem vulnerabilidades de segurança em nossos serviços, infraestrutura, aplicativos da Web e móveis, como:

Site

Problemas no TradingView.com e seus subdomínios.

Aplicativos para Celular

Problemas nas plataformas iOS e Android.

Soluções em gráficos

Erros em ferramentas, widgets ou APIs.

App Desktop

Bugs ou problemas de desempenho no aplicativo para desktop.

Recompensas

Sua recompensa dependerá da vulnerabilidade descoberta e do impacto na segurança. Veja os detalhes abaixo.

Execução de código remoto (RCE)
Obtendo acesso de administrador
Vulnerabilidades com impacto significativo
Acesso irrestrito a arquivos ou bancos de dados locais
Falsificação de solicitação do lado do servidor (SSRF)
Divulgação crítica de informações

Script entre sites armazenados (XSS) com um impacto significativo
Um desvio de autenticação que permite alterar os dados do usuário ou acessar dados privados
Referências a Objetos Diretos Inseguros (IDOR)
Tomada de controle de subdomínio

Script entre sites (XSS), exceto XSS próprio
Falsificação de solicitação entre sites (CSRF)
Redirecionamento de URL
Manipulação da reputação do usuário

Observe que os valores da recompensa podem ser diferentes. Uma recompensa real pode variar dependendo da gravidade, genuinidade e possibilidades de exploração de bugs, bem como do ambiente e de outros fatores que afetam a segurança.

Vulnerabilidades de serviços auxiliares, como Blog etc. e vulnerabilidades de ambientes de não produção, como 'beta', 'staging', 'demo' etc., são recompensadas apenas quando afetam nosso serviço como um todo ou podem causar vazamento dados sensíveis ao usuário.

Regras

Um relatório de bug deve incluir uma descrição detalhada da vulnerabilidade descoberta e as medidas que precisam ser tomadas para reproduzi-la ou uma prova de conceito funcional. Se você não descrever os detalhes da vulnerabilidade, poderá ser necessário um longo tempo para analisar o relatório e/ou o relatório poderá ser rejeitado.
Por favor, apresente apenas uma vulnerabilidade por relatório, a não ser que você precise de vulnerabilidades em cadeia para causar efeito.
Somente a primeira pessoa a relatar uma vulnerabilidade desconhecida será recompensada. Quando ocorrerem duplicidades, só premiaremos o primeiro relatório se a vulnerabilidade puder ser totalmente reproduzida.
Você não deve usar ferramentas e scanners automatizados para encontrar vulnerabilidades, pois esses relatórios serão ignorados.
Você não deve realizar nenhum ataque que possa danificar nossos serviços ou dados, incluindo dados do cliente. DDoS, spam, ataques de força bruta não são permitidos.
Você não deve envolver outros usuários sem o consentimento explícito deles.
Você não deve executar ou tentar executar ataques não técnicos, como engenharia social, phishing ou ataques físicos contra nossos funcionários, usuários ou infraestrutura em geral.
Favor forneça relatórios detalhados e com as etapas para reprodução. Se o relatório não for suficientemente detalhado para reproduzir o problema, o problema não será elegível para uma recompensa.
As múltiplas vulnerabilidades causadas por uma questão principal serão premiadas com uma recompensa.
Por favor, faça um trabalho de boa-fé para evitar violações de privacidade, destruição de dados e interrupção ou comprometimento de nosso serviço.

Vulnerabilidades fora do escopo

As questões a seguir são consideradas como fora do escopo:

Vulnerabilidades no software do usuário ou vulnerabilidades que exigem acesso total ao software, conta(s), e-mail, telefone etc.
Vulnerabilidades ou vazamentos em serviços de terceiros;
Vulnerabilidades ou versões antigas de software/protocolos de terceiros, proteção perdida e desvio das melhores práticas que não criam uma ameaça à segurança;
Vulnerabilidades sem impacto substancial na segurança ou possibilidade de exploração;
Vulnerabilidades que exigem que o usuário execute ações incomuns;
Divulgação de informações públicas ou não sensíveis;
Ataques homográficos;
Vulnerabilidades que exigem dispositivos e aplicativos enraizados, com jailbreak ou modificados.
Qualquer atividade que possa levar a interrupção de nossos serviços.

Há vários exemplos dessas vulnerabilidades que não são recompensadas:

Dados de geolocalização EXIF não extraídos.
Clickjacking em páginas sem atividades sensíveis.
Cross-Site Request Forgery (CSRF) em formulários não autenticados ou formulários sem atividades sensíveis, sair do CSRF.
Chaves fracas ou configuração de TLS sem uma Prova de Conceito válida.
Problemas de injeção e content spoofing sem sinais de um vetor de ataque.
Problemas de limite de taxa e de força bruta em endpoints sem autenticação.
Ausência de flags HttpOnly ou Secure em cookies.
Divulgação da versão do software. Banner de identificação de problemas. Mensagens de descrição de erros ou cabeçalhos (ex.: stack traces, erros de aplicação ou servidor).
As vulnerabilidades públicas de dia zero que tiveram uma correção oficial há menos de 1 mês serão premiadas caso a caso.
Tabnabbing.
User existence. Enumeração do usuário, e-mail ou número de telefone.
Falta de restrições de complexidade da senha.