Programma bug bounty di TradingView

Se hai scovato una falla di sicurezza e vuoi segnalarla, manda una mail a

Lo scopo del programma

Offriamo ricompense per segnalazioni sulle vulnerabilità in ambito di sicurezza nei nostri servizi, infrastruttura, applicazione web e mobile, come:

TradingView.com ed i suoi sottodomini
App nativa iOS
App nativa Android
Libreria grafica e terminale di trading

Ricompense

La tua ricompensa dipenderà dalla falla scoperta e dal suo impatto sulla sicurezza. I dettagli sono qui sotto.
fino a$1500
Per una vulnerabilità che interessa tutta la piattaforma
  • Esecuzione codice da remoto (RCE)
  • Ottenimento accesso da amministratore
  • Iniezioni con un impatto significativo
  • Accesso senza restrizioni ai file locali o ai database
  • Server-side request forgery (SSRF)
  • Divulgazione informazioni critiche
fino a$700
Per una falla che non richiede l'interazione dell'utente e ne interessa molti
  • Stored Cross-Site Scripting (XSS) con un impatto significativo
  • Bypass della fase di autenticazione che permette la variazione di dati o l'accesso alle informazioni private
  • Insecure Direct Object References (IDOR)
fino a$300
Per una vulnerabilità che richiede l'interazione dell'utente o interessa utenti individuali
  • Stored Cross-Site Scripting (XSS) con un impatto significativo
  • Cross-Site Request Forgery (CSRF)
  • Reindirizzamento URL
  • Manipolazione reputazione utente
Considera che le ricompense possono variare, a seconda della severità, della genuinità e delle possibilità di sfruttamento della falla, insieme a fattori ambientali ed altro che influiscono sulla sicurezza.

Le vulnerabilità di servizi ausiliari come Wiki, Blog, ecc. o di ambienti di test come 'beta', 'staging', 'demo', ecc. sono ricompensate solo quando interessano il nostro servizio inteso nella sua interezza o quando possono causare perdita di dati sensibili degli utenti.

Avrai bisogno di un ID PayPal, dato che utilizziamo questo servizio per elargire ricompense.

NON riceverai una ricompensa per la scoperta delle seguenti vulnerabilità:

  • La falla è stata già segnalata da altri;
  • Le vulnerabilità nel software dell'utente o che richiedono accesso completo all'email, al software o al telefono dell'utente;;
  • Le falle o i leak riguardano servizi di terze parti;
  • Vulnerabilità o vecchie versioni di protocolli/software di terze parti, mancata protezione o rispetto delle linee di condotta che minano le condizioni di sicurezza;
  • Falle che non hanno impatto sostanziale sulla sicurezza o possibilità di sfruttamento;
  • Vulnerabilità che richiedono che l'utente compia azioni insolite;
  • Divulgazione di informazione pubblica o non-sensibile;
  • Attacchi omografici;
  • Vulnerabilità che richiedono dispositivi con root/jailbreak o applicazioni modificate.

Regole

  1. Sii paziente, dato che le segnalazioni vengono revisionate entro due settimane e può volerci più tempo prima che l'errore venga risolto.
  2. Una segnalazione di un bug dovrebbe includere una descrizione dettagliata della vulnerabilità scoperta e degli step che sono necessari per riprodurla o un proof-of-concept funzionante. Se non sono presenti questi dettagli, è difficile per noi intervenire e questo potrebbe risultare in dei tempi dilungati o in un rifiuto della segnalazione.
  3. Non dovresti usare strumenti e scanner automatici per scovare le falle. Queste segnalazioni verranno ignorate.
  4. Non devi attuare nessun attacco che possa danneggiare i nostri servizi o i dati dei nostri utenti. Non sono permessi DDos, spam e attacchi brute force.
  5. Non devi coinvolgere altri utenti senza il loro consenso.
  6. Non dovresti compiere o tentare di compiere attacchi non tecnici come ingegneria sociale e phishing o attacchi fisici ai nostri impiegati, utenti o l'infrastruttura in generale.
Home Screener azioni Screener forex Screener cripto Calendario economico Show Come funziona Caratteristiche Grafico Costi Regolamento Moderatori Soluzioni per broker & siti web Widget Librerie grafiche Libreria grafica leggera Centro di supporto Invita un amico Suggerisci funzionalità Blog & Novità Twitter
Profilo Impostazioni profilo Account e fatturazione Invita un amico I miei ticket di supporto Centro di supporto Idee pubblicate Follower Seguiti Messaggi Privati Chat Esci