Segurança

Caso acredite ter encontrado uma vulnerabilidade de segurança na plataforma da Shockbyte, incentivamos que nos informe imediatamente.

#Esse é o programa de Bug Bounty da Shockbyte.

O programa de bug bounty da Shockbyte recompensa indivíduos ou grupos que identificam e relatam falhas de segurança em nossos softwares, sites ou infraestrutura digital. O propósito dos programas de bug bounty é incentivar pesquisadores de segurança, muitas vezes chamados de hackers éticos ou "white hats", a identificar e divulgar potenciais vulnerabilidades que poderiam ser exploradas por hackers mal-intencionados.

O escopo do Programa Bug Bounty atualmente inclui:

#Quer relatar uma falha de segurança?

Para relatar um problema, envie um e-mail para security@shockbyte.com, e nós responderemos em tempo hábil. Tente relatar o máximo de detalhes possível.

#Fora de escopo

  • Todos os outros domínios e subdomínios estão fora do escopo deste programa de bug bounty.
  • Problemas que já estejamos cientes e que/ou estejam sendo em processo de resolução.

#O que não aceitamos

Não aceitaremos os seguintes tipos de denúncias: Esta lista foi feita a partir de outros programas de bug bounty existentes.

  • Clickjacking em páginas sem ações sensíveis
  • Cross-Site Request Forgery (CSRF) em formulários não autenticados ou formulários sem ações sensíveis
  • Ataques que precisem de MITM ou acesso físico ao dispositivo do usuário.
  • Bibliotecas previamente conhecidas sem um Proof of Concept funcional.
  • Injeção de Valores separados por vírgulas (CSV) sem demonstração de uma vulnerabilidade.
  • Ausência de boas práticas na configuração de SSL/TLS.
  • Spoofing de conteúdo e problemas de injeção de texto sem demonstração de um vetor de ataque/sem a capacidade de modificar HTML/CSS.
  • Problemas de limitação de taxa ou de bruteforce em endpoints públicos.
  • Ausência de boas práticas de Política de Segurança de Conteúdo.
  • Ausência de flags HttpOnly ou Secure em cookies.
  • Ausência de boas práticas de e-mail (Registros SPF/DKIM/DMARC ausentes, inválidos ou incompletos, etc.)
  • Vulnerabilidades que só afetam usuários de browsers obsoletos ou não atualizados (mais de 2 versões estáveis atrás da mais nova versão estável publicada)
  • Divulgação de versão de software / problemas de identificação de banner / mensagens ou headers de erro descritivo (stack traces, erros de aplicação ou de servidor, por exemplo).
  • Vulnerabilidades Zero-day públicas que tenham tido um patch oficial há menos de um mês serão avaliadas caso a caso.
  • Tabnabbing
  • Redirecionamento aberto - a menos que um impacto de segurança adicional possa ser demonstrado
  • Problemas que requiram interações de usuário incomuns

#Regras, notas e regulamentos

A equipe de segurança decide o nível de severidade internamente baseando-se em cálculos utilizando a calculadora https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.

  • É proibido expor vulnerabilidades com terceiros.
  • Abuso de vulnerabilidades encontradas: remove elegibilidade para compensação e resultará em ações legais.
  • Pagamentos serão feitos mediante triagem, com prazo estimado de 7 dias.
  • Pagamentos poderão ser feitos por PayPal ou transferência bancária (via Wise)
  • Regras, notas e regulamentos poderão ser modificados a qualquer momento.

A seguinte compensação está disponível para aqueles que relatarem com sucesso uma vulnerabilidade através do programa:

SeveridadeRecompensa
Crítica$3000 USD
Alta$1500 USD
Média$500 USD
Baixa$100 USD

Reporte vulnerabilidades em security@shockbyte.com. Agradecemos a sua participação e cooperação com fazer da Shockbyte uma plataforma ainda mais segura.

Join Discord