Inizia

Bug Bounty program

Found a vulnerability on our platform? Let us know.

About the program

Get rewarded for helping us improve our platform. Reports can cover security vulnerabilities in our services, infrastructure, and applications.

Sito Web

Problemi su TradingView.com e sui suoi sottodomini.

App smartphone

Problemi sulle piattaforme iOS e Android.

Librerie grafiche 

Errori negli strumenti, nei widget o nelle API.

App desktop

Bug o problemi di prestazioni nell'applicazione desktop.

Reward levels

Your reward depends on the type of vulnerability reported and its overall security impact.

  • Remote code execution (RCE) or administrator access
  • High-impact injection vulnerabilities
  • Unrestricted access to local files or databases
  • Authentication bypass allowing modification of user data or access to private data
  • Subdomain takeover
  • Logical flaws causing financial impact e.g., obtaining a subscription for free
  • Cross-site scripting (XSS), excluding self-XSS
  • Cross-site request forgery (CSRF)
  • User reputation manipulation
  • Low-impact injection vulnerabilities
  • Bypassing user restrictions

Reward amounts can vary. The actual reward may change depending on the severity, genuineness, and exploitation possibilities of bugs, as well as the environment and other factors that affect security.

Le vulnerabilità di servizi ausiliari come Wiki, Blog, ecc. o di ambienti di test come 'beta', 'staging', 'demo', ecc. sono ricompensate solo quando interessano il nostro servizio inteso nella sua interezza o quando possono causare perdita di dati sensibili degli utenti.

Regole

  1. Una segnalazione di un bug dovrebbe includere una descrizione dettagliata della vulnerabilità scoperta e degli step che sono necessari per riprodurla o un proof-of-concept funzionante. Se non sono presenti questi dettagli, è difficile per noi intervenire e questo potrebbe risultare in dei tempi dilungati o in un rifiuto della segnalazione.
  2. Si prega di inviare una sola vulnerabilità per segnalazione, a meno che non sia necessario concatenare le vulnerabilità per fornire informazioni sulla causa primaria delle stesse.
  3. Solo la prima persona che segnala una vulnerabilità sconosciuta sarà premiata. In caso di doppioni, premieremo la prima segnalazione solo se la vulnerabilità può essere completamente riprodotta.
  4. Non dovresti usare strumenti e scanner automatici per scovare le falle. Queste segnalazioni verranno ignorate.
  5. You should not perform any attack that could damage our services or data including client data. If it's discovered that DDoS, spam, and brute force attacks have occurred rewards will not be given.
  6. Non devi coinvolgere altri utenti senza il loro consenso.
  7. Non dovresti compiere o tentare di compiere attacchi non tecnici come ingegneria sociale e phishing o attacchi fisici ai nostri impiegati, utenti o l'infrastruttura in generale.
  8. Si prega di fornire segnalazioni dettagliate con passaggi riproducibili. Se la segnalazione non è sufficientemente dettagliata per consentire la riproduzione del problema, non si potrà ottenere una ricompensa.
  9. Le vulnerabilità multiple causate da un unico problema di fondo saranno premiate con un'unica taglia.
  10. Si prega di fare il possibile per evitare violazioni della privacy, distruzione dei dati e interruzione o compromissione del nostro servizio.

Vulnerabilità al di fuori del programma

The following issues are considered out of scope.

  • Vulnerabilities in users' software or vulnerabilities that require full access to user's software, account/s, email, phone etc
  • Vulnerabilities or leaks in third-party services
  • Vulnerabilities or old versions of third party software/protocols, missed protection as well as a deviation from best practices that don't create a security threat
  • Vulnerabilities with no substantial security impact or exploitation possibility
  • Vulnerabilities that require the user to perform unusual actions
  • Disclosure of public or non-sensitive information
  • Homograph attacks
  • Vulnerabilities that require rooted, jailbroken or modified devices and applications
  • Any activity that could lead to the disruption of our service

There are several examples of such vulnerabilities that are not rewarded.

  • EXIF geolocation data not stripped
  • Clickjacking on pages with no sensitive actions
  • Cross-Site Request Forgery (CSRF) on unauthenticated forms or forms with no sensitive actions, logout CSRF
  • Weak ciphers or TLS configuration without a working Proof of Concept
  • Content spoofing or injection issues without showing an attack vector
  • Rate limiting or brute force issues on non-authentication endpoints
  • Missing HttpOnly or Secure flags on cookies
  • Software version disclosure. Banner identification issues. Descriptive error messages or headers (e.g. stack traces, application or server errors)
  • Public zero-day vulnerabilities that have had an official patch for less than 1 month will be awarded on a case by case basis
  • Tabnabbing
  • User existence. User, email or phone number enumeration
  • Lack of password complexity restrictions