Security

#Bienvenido al Programa de Bug Bounty de Shockbyte.

Nuestro programa de bug bounty es una iniciativa de recompensas para personas o grupos que descubran y reporten vulnerabilidades de seguridad en nuestro software, sitios web o infraestructura digital. El objetivo de los programas de bug bounty es motivar a investigadores de seguridad, conocidos como hackers "white hat" o éticos, a identificar y reportar posibles puntos débiles que podrían ser explotados por actores maliciosos.

El alcance actual del Programa de Bug Bounty incluye:

• https://shockbyte.com
• https://panel.shockbyte.com
• https://discord.shockbyte.com

#¿Cómo reportar un problema de seguridad?

Para reportar un problema, envía un correo a security@shockbyte.com y te responderemos a la brevedad. Por favor, incluye todos los detalles posibles en tu reporte.

#Fuera de alcance

• Todos los demás dominios y subdominios quedan fuera del alcance de este programa de bug bounty.
• Problemas de los que ya tenemos conocimiento y/o que están siendo resueltos activamente.

#Qué no aceptamos

Los siguientes tipos de reportes no serán aceptados. Esta lista está basada en programas de bug bounty existentes.

• Clickjacking en páginas sin acciones sensibles
• Cross-Site Request Forgery (CSRF) en formularios no autenticados o sin acciones sensibles
• Ataques que requieran acceso físico al dispositivo del usuario o un ataque MITM.
• Librerías con vulnerabilidades conocidas sin un Proof of Concept funcional.
• Inyección de valores separados por comas (CSV) sin demostrar una vulnerabilidad real.
• Ausencia de buenas prácticas en la configuración SSL/TLS.
• Problemas de suplantación de contenido e inyección de texto sin demostrar un vector de ataque ni capacidad para modificar HTML/CSS
• Problemas de rate limiting o fuerza bruta en endpoints que no sean de autenticación
• Ausencia de buenas prácticas en la Política de Seguridad de Contenido.
• Ausencia de flags HttpOnly o Secure en cookies
• Ausencia de buenas prácticas en correo electrónico (registros SPF/DKIM/DMARC inválidos, incompletos o faltantes, etc.)
• Vulnerabilidades que solo afecten a usuarios de navegadores desactualizados o sin parches (más de 2 versiones estables por detrás de la última versión estable publicada)
• Divulgación de versión de software / Identificación por banner / Mensajes de error o cabeceras descriptivas (por ejemplo, stack traces, errores de aplicación o servidor).
• Las vulnerabilidades Zero-day públicas con un parche oficial de menos de 1 mes de antigüedad serán evaluadas caso por caso.
• Tabnabbing
• Redirección abierta, a menos que se pueda demostrar un impacto de seguridad adicional
• Problemas que requieran una interacción del usuario poco probable

#Reglas, notas y normativa

El equipo de seguridad determina internamente el nivel de severidad, basándose en cálculos realizados con https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.

• Queda prohibido divulgar vulnerabilidades a terceros.
• El abuso de vulnerabilidades encontradas implica la pérdida de elegibilidad para recibir compensación y puede derivar en acciones legales.
• El pago se realizará tras el proceso de triage, con un plazo estimado de 7 días.
• El pago puede realizarse mediante PayPal o transferencia bancaria (a través de Wise)
• Las reglas, notas y normativa pueden modificarse en cualquier momento.

La siguiente compensación está disponible para los investigadores que reporten exitosamente una vulnerabilidad a través del programa:

Reporta vulnerabilidades en security@shockbyte.com. Agradecemos tu participación y colaboración para hacer de Shockbyte una plataforma cada vez más segura.