Programa de Recompensa Bug

O Bankera coloca sempre em primeiro lugar a segurança dos fundos dos seus clientes: a nossa equipa de Cibersegurança trabalha incansavelmente para detetar quaisquer vulnerabilidades possíveis nos nossos sistemas. Há sempre, ainda assim, uma mínima hipótese de persistirem alguns erros. Por isso, decidimos lançar o programa de recompensa bug, que permite à nossa comunidade trabalhar lado a lado com o Bankera para ajudar a manter os nossos serviços seguros e com grande qualidade.

Prémios

As recompensas são distribuídas de acordo com a gravidade da vulnerabilidade reportada. O Bankera não definiu um valor máximo de prémio para os bugs reportados — se encontrar um problema crítico na plataforma, a recompensa irá aumentar. Ainda assim, para ter uma ideia geral, pode encontrar as diretrizes de distribuição de recompensas na tabela abaixo. A determinação do valor final da recompensa fica totalmente ao nosso critério.

  • As recompensas são alocadas tendo em conta:

    • Qualidade da descrição
      Recompensas maiores poderão ser alocadas a relatórios de recompensa bug claros e extensivos.

    • Qualidade da prova de conceito
      Recompensas maiores poderão ser alocadas se o relatório bug incluir scripts, código de teste, bem como instruções detalhadas.

    • Qualidade da solução, quando incluída
      Recompensas maiores poderão ser alocadas caso o relatório bug forneça sugestões de resolução do problema.

  • Bug e recompensa

    • Crítico

      $4,000 - $15,000

    • Alto

      $1,000 - $4,000

    • Médio

      $200 - $1,000

    • Baixo

      até $200

Apenas serão consideradas para recompensa vulnerabilidades desconhecidas e que ainda não foram reportadas.
Apenas conferimos uma recompensa por bug. Se forem submetidos vários relatórios sobre a mesma vulnerabilidade, recompensaremos apenas o primeiro.
Para receber um prémio, não pode haver obstáculos legais (ex. não pode participar neste programa se for residente ou localizado num país sujeito a sansões internacionais incluindo, mas não se limitando a, EC, FATF, US, UN).
Em todo o caso, o Bankera determina o critério para considerar uma vulnerabilidade reportada como insignificante e também a sua elegibilidade para recompensa. Ao reportar um bug, você concorda com as regras acima.

Como reportar um bug

  • Os relatórios bug devem ser apresentados com uma prova de conceito detalhada e passo-a-passo, o que nos ajudará a reproduzir e avaliar o problema. Por exemplo, um relatório que explica um erro relacionado com a web deve conter pelo menos:

    • Pedidos e respostas HTTP, juntamente com os parâmetros afetados
    • Vídeos ou capturas de ecrã (se necessário)
    • Descrição do browser (tipo), sistema operativo e dispositivo
    • Descrição do efeito do bug percepcionado
    • Sugestões sobre como resolver o problema (se possível)
  • Não partilhe publicamente nenhum ficheiro ou detalhe relacionado com o bug encontrado. Tal inclui atualizações em qualquer plataforma acessível publicamente (ex. YouTube, Imgur, Pastebin, etc.).

  • Encripte o relatório e quaisquer anexos necessários com o nossa Chave Pública PGP (disponível abaixo).

  • Enviar os seus relatórios bug para [email protected].

Se a nossa equipa de Cibersegurança não conseguir reproduzir e verificar o bug, a recompensa não será paga.

Caixa bug
Reportar bug

Bugs elegíveis

  • As vulnerabilidades encontradas em qualquer um dos serviços do Bankera são elegíveis para o programa recompensa bug, incluindo o website landing Bankera e a plataforma internet banking. De um modo geral, os bugs reportados que potencialmente resultem em perda financeira ou violação de dados são considerados graves o suficiente para ser recompensados. Estes podem incluir:

    • Falsificação de solicitação entre sites (Cross-Site Request Forgery - CSRF)
    • Scripting entre sites (Cross-Site Scripting - XSS)
    • Injeção de Código
    • Execução Remota de Código
    • Escalada de Privilégio
    • Bypass de Autenticação
    • Clickjacking
    • Vazamento de Dados Sensíveis

Bugs inelegíveis

  • De um modo geral, os seguintes problemas não são considerados graves o suficiente para se qualificarem para recompensas:

    • Falta de DNSSEC
    • Injeções de host header sem um impacto específico demonstrável
    • Explorações com base no Flash
    • Formas de CSRF que não impliquem autenticação nem ações sensíveis
    • Clickjacking em páginas sem ações sensíveis
    • Vulnerabilidades que necessitem de ataque homem-no-meio (Man-in-the-middle - MITM), ou acesso físico a um browser web de utilizador, conta de e-mail, smartphone e problemas em dispositivos enraizados/desbloqueados.

Divulgação responsável

Divulgação responsável inclui, mas não se limita a:

  • Fornecer-nos um período de tempo razoável para corrigir o problema antes de o publicar noutro local.

  • Não violar a privacidade de outros utilizadores, destruir dados ou perturbar os nossos serviços, entre outros (agir em boa-fé).

  • Não defraudar os utilizadores do Bankera (não interaja com uma conta individual, incluindo a alteração ou acesso a dados da conta) nem o próprio Bankera no processo de descoberta.

  • Para explorações em que é necessário o acesso a uma conta, deverá ser utilizada a conta própria.

  • Caso aceda inadvertidamente a dados pessoais pedimos que, depois de nos notificar, apague toda informação relacionada, incluindo mas não se limitando a códigos de acesso, dados pessoais, entre outros.

  • Se, devido a um bug, tiver sido capaz de aceder e/ou movimentar fundos do Bankera, compromete-se a devolver o montante integral ao Bankera.

* Para encorajar a divulgação responsável, não iniciaremos uma ação legal contra os pesquisadores que apontem um problema, desde que eles façam o possível para seguir as diretrizes acima descritas.

pasta de ficheiros

Encontrou algum bug?

Reportar bug