Programa de Caça a Bugs
Relatar bugO Bankera sempre coloca a segurança dos fundos de seus clientes em primeiro lugar: nossa equipe de cibersegurança está trabalhando incansavelmente para detectar quaisquer possíveis vulnerabilidades em nossos sistemas. No entanto, há sempre uma possibilidade mínima de que alguns erros ainda persistam. Portanto, decidimos lançar um programa de caça a bugs que permitirá que nossa comunidade trabalhe lado a lado com o Bankera e ajude a manter nossos serviços protegidos e com alta qualidade.
Recompensas
As recompensas são distribuídas dependendo da gravidade da vulnerabilidade relatada. O Bankera não definiu uma recompensa máxima para os bugs relatados - se você encontrar um problema crítico em nossa plataforma, a recompensa será aumentada de acordo. No entanto, para saber o panorama geral, confira as diretrizes de distribuição de recompensas na tabela abaixo. A determinação da recompensa final permanece exclusivamente a nosso critério.
As recompensas são concedidas de acordo com:
A qualidade da descrição
Recompensas maiores podem ser pagas para relatórios claros e abrangentes.A qualidade da prova de conceito
Recompensas maiores podem ser pagas se o código dos testes, scripts e instruções detalhadas forem incluídos.A qualidade da correção, caso incluída
Recompensas maiores podem ser pagas se sugestões de como resolver o problema forem incluídas.
Bug e recompensa
Crítico
$4,000 - $15,000
Alto
$1,000 - $4,000
Médio
$200 - $1,000
Baixo
até $200
Apenas vulnerabilidades desconhecidas e não relatadas anteriormente são levadas em consideração para recompensas.
Nós concedemos apenas uma recompensa por bug. Caso múltiplos relatórios sejam submetidos sobre a mesma vulnerabilidade, nós recompensaremos apenas o primeiro relator.
Para receber uma recompensa, não devem haver obstáculos legais para tal (por exemplo, você não poderá participar deste programa caso seja um residente ou indivíduo localizado (a) em um país sujeito a sanções internacionais, incluindo, mas não limitadas a CE, GAFI[FATF], EUA, ONU.)
Em todo caso, fica à discrição do Bankera determinar se uma vulnerabilidade reportada é insignificante, incluindo sua elegibilidade para uma recompensa. Ao relatar um bug, você concorda em seguir as regras acima.
Como relatar um bug
Os relatórios sobre bugs devem apresentar uma detalhada prova de conceito passo a passo que nos permita reproduzir e avaliar o problema. Por exemplo, relatórios de erros relacionados ao site devem conter, pelo menos:
- Solicitações/respostas HTTP e os parâmetros afetados
- Vídeos ou capturas de tela (se necessário)
- Descrição do navegador (tipo), sistema operacional e aparelho
- Descrição do impacto percebido do bug
- Sugestões de como resolver o problema (se possível)
Não compartilhe publicamente nenhum arquivo e/ou detalhes relacionados ao bug. Isso inclui o upload em quaisquer websites acessíveis publicamente (por exemplo, YouTube, Imgur, Pastebin, etc.).
Criptografe sua mensagem e anexos utilizando nossa chave pública PGP (disponível abaixo).
Envie seu relatório sobre os bugs para [email protected].
Caso nossa equipe de Cibersegurança não consiga reproduzir ou verificar o problema, a recompensa não será concedida.
Bugs elegíveis
Vulnerabilidades encontradas em qualquer um dos serviços do Bankera são elegíveis para o programa de caça a bugs, incluindo o site do Bankera e a plataforma de internet banking. Em geral, bugs relatados que possam resultar em perda financeira ou violação de dados são considerados de gravidade suficiente para receberem uma recompensa. Isso pode incluir:
- Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF)
- Cross-Site Scripting (XSS)
- Injeção de Código (Code Injection)
- Execução Remota de Código (Remote Code Execution)
- Escalação de Privilégio (Privilege Escalation)
- Bypass de Autenticação (Authentication Bypass)
- Clickjacking
- Vazamento de Dados Sensíveis (Leakage of Sensitive Data)
Bugs inelegíveis
Geralmente, os problemas a seguir não são considerados graves o suficiente e não se qualificam para o recebimento de recompensas:
- Falta de DNSSEC
- Injeções de cabeçalho de host sem impacto específico e demonstrável
- Explorações baseadas em Flash
- CSRF em formulários que não exigem autenticação ou em ações não sensíveis
- Clickjacking em páginas sem ações sensíveis
- Vulnerabilidades que exigem ataques man-in-the-middle (MITM) ou acesso físico ao navegador de internet, conta de email, smartphone de um usuário ou problemas em aparelhos enraizados/desbloqueados (jailbroken).
Divulgação responsável
A divulgação responsável inclui, mas não está limitada a:
Que você nos forneça uma quantidade razoável de tempo para resolver o problema antes que você o publique em outro lugar.
Não violação da privacidade de outros usuários, destruição de dados ou interrupção de nossos serviços, etc (aja com boa fé).
Não defraudar os usuários do Bankera (não interaja com a conta de indivíduos, o que inclui modificar ou acessar dados da conta) ou o Bankera em si no processo de descoberta.
Para explorações que necessitam de acesso por meio de uma conta, você deve utilizar sua própria conta.
Caso você inadvertidamente acesse dados pessoais, nós pedimos que delete todas as informações relacionadas – incluindo, mas não limitadas a códigos de acesso, dados pessoais, etc., após sermos notificados.
Se, no caso de um bug, você tenha sido capaz de acessar e/ou movimentar fundos do Bankera, você se compromete a retornar a quantia total para o Bankera.
* A fim de encorajar a divulgação responsável, nós não tomaremos medidas legais contra pesquisadores que apontarem um problema desde que eles façam seu melhor para seguir as diretrizes acima.
