Programa de Recompensa por detección de errores (bugs)
Bankera siempre da prioridad a la seguridad de los fondos de sus clientes: nuestro equipo de Ciberseguridad está trabajando incansablemente para detectar posibles vulnerabilidades en nuestros sistemas. Sin embargo, siempre existe una posibilidad mínima de que algunos errores persistan. Por lo tanto, decidimos lanzar un programa de recompensas de errores que permitiría a nuestra comunidad trabajar de la mano con Bankera y ayudará a mantener nuestros servicios seguros y de alta calidad.
Recompensas
Las recompensas se distribuyen según la gravedad de la vulnerabilidad informada. Bankera no ha establecido una recompensa máxima por los errores (bugs) informados; si encuentra un problema crítico en nuestra plataforma, la recompensa se incrementará en consecuencia. Sin embargo, para conocer el panorama general, busque las pautas de distribución de recompensas en la tabla siguiente. La determinación de la recompensa final queda únicamente a nuestra discreción.
Las recompensas se asignan en función de:
La calidad de la descripción
Recompensas más altas podrían ser concedidas para informes claros y extensos.La calidad de la prueba de concepto
Recompensas más altas podrían ser concedidas si el informe de error incluye scripts, código de prueba e instrucciones detalladas.La calidad de la corrección, en el caso de que sea incluida
Recompensas más altas podrían ser concedidas en caso de aportar sugerencias para solucionar el problema.
Error y recompensa
Crítico
$4,000 - $15,000
Alto
$1,000 - $4,000
Medio
$200 - $1,000
Bajo
Hasta $200
Solamente las vulnerabilidades desconocidas y no informadas previamente se considerarán para recibir recompensa.
Solamente será concedida una recompensa por error (bug). Si se envían varios informes por la misma vulnerabilidad, únicamente será recompensado el primer informante.
Para recibir una recompensa, no debe haber ningún impedimento legal para hacerlo (por ejemplo, no puede participar en este programa si es un residente o una persona ubicada dentro de un país sujeto a sanciones internacionales que incluyen, entre otras, UE, GAFI, EE. UU., ONU.)
En cualquier caso, Bankera tiene la facultad discrecional de determinar una vulnerabilidad informada como insignificante, incluida su elegibilidad para una recompensa. Al enviar un error, acepta seguir las reglas mencionadas anteriormente.
Cómo informar un error (Bug)
Los informes de errores deben presentarse con una prueba de concepto detallada paso a paso, que nos ayude a reproducir y evaluar el problema. Por ejemplo, un informe que explique un error relacionado con la web debe contener al menos:
- Peticiones y respuestas HTTP junto con los parámetros afectados
- Videos o capturas de pantalla (si es necesario)
- Descripción del navegador (tipo), sistema operativo y dispositivo
- Descripción del efecto producido por el error
- Sugerencias sobre cómo resolver el problema (si es posible)
No comparta ningún archivo y/o detalles relacionados con el error encontrado en forma pública. Esto incluye subir contenido a cualquier plataforma de acceso público (es decir, YouTube, Imgur, Pastebin, etc.).
Cifre el informe y los archivos adjuntos necesarios con nuestra clave pública PGP (disponible a continuación).
Envie sus reportes de errores a [email protected].
Si nuestro equipo de ciberseguridad no puede reproducir y verificar el error, no se pagará la recompensa.
Errores elegibles
Las vulnerabilidades encontradas en cualquiera de los servicios de Bankera son elegibles para el programa de recompensas por errores, incluyendo la página de aterrizaje de Bankera y la plataforma de banca por Internet. En general, la notificación de errores que podrían resultar en pérdidas financieras o violación de datos son considerados de gravedad suficiente para ser adjudicada una recompensa. Estos pueden incluir:
- Falsificación de petición en sitios cruzados (Cross-Site Request Forgery-CSRF)
- Secuencias de comandos en sitios cruzados (cross-site scripting-XSS)
- Inyección de código
- Ejecución Remota de Código
- Escalada de privilegios
- Vulnerabilidad de omisión de autenticación
- Clickjacking
- Fuga de información sensible
Errores no elegibles
Generalmente, los siguientes problemas no se consideran lo suficientemente graves y, por lo tanto, no califican para las recompensas:
- Falta de DNSSEC
- Inyecciones de encabezado de host sin un impacto específico y/o demostrable
- Exploits basados en Flash
- Falsificación de petición en sitios cruzados (CSRF) en formularios que no requieren autenticación o en acciones no sensibles
- Clickjacking en páginas sin acciones sensibles
- Vulnerabilidades que requieren un ataque de intermediario (Man-in-the-middle/MITM) o acceso físico al navegador web, la cuenta de correo electrónico, el teléfono inteligente de un usuario y problemas en dispositivos con root o jailbreak.
Divulgación responsable
La divulgación responsable incluye, pero no se limita a:
Brindarnos una cantidad de tiempo razonable para solucionar el problema antes de publicarlo en otro lugar.
No violar la privacidad de otros usuarios, destruir algún dato o interrumpir nuestros servicios, etc. (Actuar de buena fe).
No defraudar a los usuarios de Bankera (no interactuar con una cuenta individual lo que incluye modificar o acceder a datos de la cuenta) ni a Bankera en el proceso de descubrimiento.
Para exploits que necesitan acceso a una cuenta, debe utilizar su propia cuenta.
Si accidentalmente accede a datos privados, le pedimos que elimine toda la información relacionada, incluidos, entre otros, códigos de acceso, datos privados, etc., después de notificarnos.
Si en el caso de un error, pudo acceder y/o mover fondos de Bankera, se compromete a devolver el monto total a Bankera.
* Para fomentar la revelación responsable, no iniciaremos acciones legales contra los investigadores que señalen un problema siempre que hagan todo lo posible por seguir las pautas anteriormente mencionadas.
