
Segurança
Caso acredite ter encontrado uma vulnerabilidade de segurança na plataforma da Shockbyte, incentivamos que nos informe imediatamente.
#Esse é o programa de Bug Bounty da Shockbyte.
O programa de bug bounty da Shockbyte recompensa indivíduos ou grupos que identificam e relatam falhas de segurança em nossos softwares, sites ou infraestrutura digital. O propósito dos programas de bug bounty é incentivar pesquisadores de segurança, muitas vezes chamados de hackers éticos ou "white hats", a identificar e divulgar potenciais vulnerabilidades que poderiam ser exploradas por hackers mal-intencionados.
O escopo do Programa Bug Bounty atualmente inclui:
#Quer relatar uma falha de segurança?
Para relatar um problema, envie um e-mail para security@shockbyte.com, e nós responderemos em tempo hábil. Tente relatar o máximo de detalhes possível.
#Fora de escopo
- Todos os outros domínios e subdomínios estão fora do escopo deste programa de bug bounty.
- Problemas que já estejamos cientes e que/ou estejam sendo em processo de resolução.
#O que não aceitamos
Não aceitaremos os seguintes tipos de denúncias: Esta lista foi feita a partir de outros programas de bug bounty existentes.
- Clickjacking em páginas sem ações sensíveis
- Cross-Site Request Forgery (CSRF) em formulários não autenticados ou formulários sem ações sensíveis
- Ataques que precisem de MITM ou acesso físico ao dispositivo do usuário.
- Bibliotecas previamente conhecidas sem um Proof of Concept funcional.
- Injeção de Valores separados por vírgulas (CSV) sem demonstração de uma vulnerabilidade.
- Ausência de boas práticas na configuração de SSL/TLS.
- Spoofing de conteúdo e problemas de injeção de texto sem demonstração de um vetor de ataque/sem a capacidade de modificar HTML/CSS.
- Problemas de limitação de taxa ou de bruteforce em endpoints públicos.
- Ausência de boas práticas de Política de Segurança de Conteúdo.
- Ausência de flags HttpOnly ou Secure em cookies.
- Ausência de boas práticas de e-mail (Registros SPF/DKIM/DMARC ausentes, inválidos ou incompletos, etc.)
- Vulnerabilidades que só afetam usuários de browsers obsoletos ou não atualizados (mais de 2 versões estáveis atrás da mais nova versão estável publicada)
- Divulgação de versão de software / problemas de identificação de banner / mensagens ou headers de erro descritivo (stack traces, erros de aplicação ou de servidor, por exemplo).
- Vulnerabilidades Zero-day públicas que tenham tido um patch oficial há menos de um mês serão avaliadas caso a caso.
- Tabnabbing
- Redirecionamento aberto - a menos que um impacto de segurança adicional possa ser demonstrado
- Problemas que requiram interações de usuário incomuns
#Regras, notas e regulamentos
A equipe de segurança decide o nível de severidade internamente baseando-se em cálculos utilizando a calculadora https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.
- É proibido expor vulnerabilidades com terceiros.
- Abuso de vulnerabilidades encontradas: remove elegibilidade para compensação e resultará em ações legais.
- Pagamentos serão feitos mediante triagem, com prazo estimado de 7 dias.
- Pagamentos poderão ser feitos por PayPal ou transferência bancária (via Wise)
- Regras, notas e regulamentos poderão ser modificados a qualquer momento.
A seguinte compensação está disponível para aqueles que relatarem com sucesso uma vulnerabilidade através do programa:
| Severidade | Recompensa |
|---|---|
| Crítica | $3000 USD |
| Alta | $1500 USD |
| Média | $500 USD |
| Baixa | $100 USD |
Reporte vulnerabilidades em security@shockbyte.com. Agradecemos a sua participação e cooperação com fazer da Shockbyte uma plataforma ainda mais segura.