Programa de Recompensas por Bugs do TradingView
Se você encontrou um bug de segurança e deseja denunciá-lo para nós, envie-nos um e-mail para
O escopo do programa
Oferecemos recompensas por relatórios que cobrem vulnerabilidades de segurança em nossos serviços, infraestrutura, aplicativos da Web e móveis, como:
TradingView.com, bem como subdomínios
App nativo iOS
App nativo Android
Biblioteca Gráfica e Terminal de Negociação
Recompensas
Sua recompensa dependerá da vulnerabilidade descoberta e do impacto na segurança. Veja os detalhes abaixo.
até$1500
Para uma vulnerabilidade que afeta toda a nossa plataforma
- Execução de código remoto (RCE)
- Obtendo acesso de administrador
- Vulnerabilidades com impacto significativo
- Acesso irrestrito a arquivos ou bancos de dados locais
- Falsificação de solicitação do lado do servidor (SSRF)
- Divulgação crítica de informações
até$700
Para uma vulnerabilidade que não requer interação do usuário e afeta muitos usuários
- Script entre sites armazenados (XSS) com um impacto significativo
- Um desvio de autenticação que permite alterar os dados do usuário ou acessar dados privados
- Referências a Objetos Diretos Inseguros (IDOR)
até$300
Para uma vulnerabilidade que requer interação do usuário ou afeta usuários individuais
- Script entre sites (XSS), exceto XSS próprio
- Falsificação de solicitação entre sites (CSRF)
- Redirecionamento de URL
- Manipulação da reputação do usuário
Observe que os valores da recompensa podem ser diferentes. Uma recompensa real pode variar dependendo da gravidade, genuinidade e possibilidades de exploração de bugs, bem como do ambiente e de outros fatores que afetam a segurança.
Vulnerabilidades de serviços auxiliares, como Wiki, Blog etc. e vulnerabilidades de ambientes de não produção, como 'beta', 'staging', 'demo' etc., são recompensadas apenas quando afetam nosso serviço como um todo ou podem causar vazamento dados sensíveis ao usuário.
Você precisará de um ID do PayPal, pois usamos o PayPal para emitir recompensas.
Você NÃO receberá uma recompensa pela descoberta das seguintes vulnerabilidades:
- Você não for o primeiro a relatar esta vulnerabilidade;
- Vulnerabilidades no software do usuário ou vulnerabilidades que exigem acesso total ao software, conta(s), email, telefone etc.;
- Vulnerabilidades ou vazamentos em serviços de terceiros;
- Vulnerabilidades ou versões antigas de software/protocolos de terceiros, proteção perdida e desvio das melhores práticas que não criam uma ameaça à segurança;
- Vulnerabilidades sem impacto substancial na segurança ou possibilidade de exploração;
- Vulnerabilidades que exigem que o usuário execute ações incomuns;
- Divulgação de informações públicas ou não sensíveis;
- Ataques homográficos;
- Vulnerabilidades que exigem dispositivos e aplicativos enraizados, com jailbreak ou modificados.
Regras
- Seja paciente, pois os relatórios são revisados em duas semanas e, às vezes, precisamos de mais tempo para corrigir o problema.
- Um relatório de bug deve incluir uma descrição detalhada da vulnerabilidade descoberta e as medidas que precisam ser tomadas para reproduzi-la ou uma prova de conceito funcional. Se você não descrever os detalhes da vulnerabilidade, poderá ser necessário um longo tempo para analisar o relatório e/ou o relatório poderá ser rejeitado.
- Você não deve usar ferramentas e scanners automatizados para encontrar vulnerabilidades, pois esses relatórios serão ignorados.
- Você não deve realizar nenhum ataque que possa danificar nossos serviços ou dados, incluindo dados do cliente. DDoS, spam, ataques de força bruta não são permitidos.
- Você não deve envolver outros usuários sem o consentimento explícito deles.
- Você não deve executar ou tentar executar ataques não técnicos, como engenharia social, phishing ou ataques físicos contra nossos funcionários, usuários ou infraestrutura em geral.
