Programma bug bounty
di TradingView
Se vuoi segnalarci una vulnerabilità, invia un report tramite HackerOne.
Lo scopo del programma
Offriamo ricompense per segnalazioni sulle vulnerabilità in ambito di sicurezza nei nostri servizi, infrastrutture, applicazioni web e mobile, come:
Ricompense
La tua ricompensa dipenderà dalla falla scoperta e dal suo impatto sulla sicurezza. I dettagli sono qui sotto.
Massimo
Per una vulnerabilità che interessa tutta la piattaforma
- Esecuzione codice da remoto (RCE)
- Ottenimento accesso da amministratore
- Iniezioni con un impatto significativo
- Accesso senza restrizioni ai file locali o ai database
- Server-side request forgery (SSRF)
- Divulgazione informazioni critiche
Medio
Per una falla che non richiede l'interazione dell'utente e ne interessa molti
- Stored Cross-Site Scripting (XSS) con un impatto significativo
- Bypass della fase di autenticazione che permette la variazione di dati o l'accesso alle informazioni private
- Insecure Direct Object References (IDOR)
- Acquisizione del sottodominio
Minimo
Per una vulnerabilità che richiede l'interazione dell'utente o interessa utenti individuali
- Cross-Site Scripting (XSS), ad eccezione del self-XSS
- Cross-Site Request Forgery (CSRF)
- Reindirizzamento URL
- Manipolazione reputazione utente
Considera che le ricompense possono variare, a seconda della severità, della genuinità e delle possibilità di sfruttamento della falla, insieme a fattori ambientali ed altri che influiscono sulla sicurezza.
Le vulnerabilità di servizi ausiliari come Wiki, Blog, ecc. o di ambienti di test come 'beta', 'staging', 'demo', ecc. sono ricompensate solo quando interessano il nostro servizio inteso nella sua interezza o quando possono causare perdita di dati sensibili degli utenti.
Regole
- Una segnalazione di un bug dovrebbe includere una descrizione dettagliata della vulnerabilità scoperta e degli step che sono necessari per riprodurla o un proof-of-concept funzionante. Se non sono presenti questi dettagli, è difficile per noi intervenire e questo potrebbe risultare in dei tempi dilungati o in un rifiuto della segnalazione.
- Si prega di inviare una sola vulnerabilità per segnalazione, a meno che non sia necessario concatenare le vulnerabilità per fornire informazioni sulla causa primaria delle stesse.
- Solo la prima persona che segnala una vulnerabilità sconosciuta sarà premiata. In caso di doppioni, premieremo la prima segnalazione solo se la vulnerabilità può essere completamente riprodotta.
- Non dovresti usare strumenti e scanner automatici per scovare le falle. Queste segnalazioni verranno ignorate.
- Non devi attuare nessun attacco che possa danneggiare i nostri servizi o i dati dei nostri utenti. Non sono permessi DDos, spam e attacchi brute force.
- Non devi coinvolgere altri utenti senza il loro consenso.
- Non dovresti compiere o tentare di compiere attacchi non tecnici come ingegneria sociale e phishing o attacchi fisici ai nostri impiegati, utenti o l'infrastruttura in generale.
- Si prega di fornire segnalazioni dettagliate con passaggi riproducibili. Se la segnalazione non è sufficientemente dettagliata per consentire la riproduzione del problema, non si potrà ottenere una ricompensa.
- Le vulnerabilità multiple causate da un unico problema di fondo saranno premiate con un'unica taglia.
- Si prega di fare il possibile per evitare violazioni della privacy, distruzione dei dati e interruzione o compromissione del nostro servizio.
Vulnerabilità al di fuori del programma
Il programma non copre le seguenti tematiche:
- Le vulnerabilità nel software dell'utente o che richiedono accesso completo all'email, al software o al telefono dell'utente
- Le falle o i leak riguardano servizi di terze parti;
- Vulnerabilità o vecchie versioni di protocolli/software di terze parti, mancata protezione o rispetto delle linee di condotta che minano le condizioni di sicurezza;
- Falle che non hanno impatto sostanziale sulla sicurezza o possibilità di sfruttamento;
- Vulnerabilità che richiedono che l'utente compia azioni insolite;
- Divulgazione di informazione pubblica o non-sensibile;
- Attacchi omografici;
- Vulnerabilità che richiedono dispositivi con root/jailbreak o applicazioni modificate.
- Qualsiasi attività che possa portare all'interruzione del nostro servizio.
Esistono diversi esempi di vulnerabilità di questo tipo che non vengono ricompensate:
- I dati di geolocalizzazione EXIF non vengono eliminati.
- Clickjacking su pagine prive di attività sensibili.
- Cross-Site Request Forgery (CSRF) su moduli non autenticati o senza attività sensibili, logout CSRF.
- Cifrari deboli o configurazione TLS senza una Proof of Concept funzionante.
- Spoofing o problemi di immissione di contenuti senza mostrare un vettore di attacco.
- Problemi di rate limiting o rischi di attacchi brute force su endpoint non autenticati.
- Mancano i flag relativi a HttpOnly e Secure sui cookie.
- Informazioni sulla versione del software. Problemi di identificazione dei banner. Messaggi di errore descrittivi o headers (ad esempio, stack trace, errori dell'applicazione o del server).
- Le vulnerabilità zero-day pubbliche che dispongono di una patch ufficiale da meno di un mese verranno ricompensate caso per caso.
- Tabnabbing.
- Esistenza dell'utente. Enumerazione dell' utente, dell'e-mail o del numero di telefono.
- Mancanza di restrizioni sulla complessità delle password.
Cacciatori di bounty
Vorremmo fare un ringraziamento speciale ai ricercatori elencati qui sotto per il loro contributo.
Aaron Luo
Kitab Ahmed
Jatinder Pal Singh