Programa Bug Bounty
Estamos comprometidos em proteger nossa comunidade e estabelecemos um programa de segurança para os usuários relatarem questões relacionadas à segurança com nosso website.
Se você acredita que encontrou uma vulnerabilidade ou problema e gostaria de participar do nosso programa, por favor, nos forneça uma descrição detalhada do problema, incluindo as medidas que podemos tomar para reproduzir o problema e/ou uma prova de conceito.
Se você enviar um relatório, por favor, dê um tempo razoável para nossa equipe responder ao seu relatório e resolver o problema. Nós apreciamos muito seus esforços para proteger nossa comunidade e podemos recompensar os participantes por sua ajuda. Todos os relatórios estão sujeitos aos termos e condições de nosso programa estabelecidos abaixo e aos Termos e Condições de Serviço disponíveis no site.
Escopo
Nós agradecemos relatórios de quaisquer questões ou vulnerabilidades relacionadas à segurança que você encontrar em nosso website. Entretanto, por favor não recorra ao phishing, spamming ou outros métodos questionáveis que possam assediar nossos usuários ou comprometer seus dados, gerar tráfego significativo ou causar perturbações em nosso website. O uso de ferramentas de escaneamento de segurança automatizado é permitido desde que elas não causem problemas.
Recompensa
A recompensa mínima é de $100 por quebra de segurança. A recompensa depende da gravidade da quebra de segurança. Questões que não afetam a segurança não são elegíveis para uma recompensa, mas ainda assim são bem-vindas e serão tratadas como qualquer outro relatório.
Elegibilidade
- Você deve ser o primeiro a relatar a vulnerabilidade.
- Você não acessa os dados de outros usuários e só usa suas próprias contas criadas.
- Você não deve revelar publicamente a vulnerabilidade até que nós a tenhamos corrigido.
- Você fornecerá uma prova de conceito funcional que explora a vulnerabilidade.
- O relatório de vulnerabilidade será criptografado usando o PGP (veja abaixo para detalhes; veja: Contate-nos).
Exclusão
Registro/desinscrição CSRF
DDoS
Engenharia social em clientes ou funcionários da HOT Group AG
Auto-XSS (precisamos de provas de como o XSS pode ser usado para atacar outro usuário Algolia)
Desconsideração dos limites das tarifas
Relatório de ferramentas e varreduras automatizadas
Vulnerabilidades no envio de spam ou mensagens não autorizadas
Bugs em software de terceiros
Opções de quadro X relacionadas
Relacionado ao HSTS
DNSSEC
Faltam cabeçalhos de segurança que não levam diretamente a uma vulnerabilidade
Ataques físicos à infra-estrutura
Ataques teóricos
Quebrando a confiança no SSL/TLS
Compromisso navegador/dispositivo (por exemplo, compartilhar um computador, acessar fisicamente um dispositivo do usuário, ...)
Vulnerabilidades que afetam apenas usuários de navegadores e plataformas desatualizados ou não
Políticas de recuperação de senha e conta, por exemplo, redefinir a expiração do link ou a complexidade da senha
Vulnerabilidades sem resolução do nosso lado (HEIST, ...)
Registros DNS desatualizados que apontam para um sistema que não nos pertence
Posse e incentivo
Qualquer relatório que você nos enviar torna-se nossa propriedade e nós não somos obrigados a responder a qualquer relatório. Entretanto, se nós respondermos a um relatório, nós poderemos, a nosso critério, fornecer a você uma compensação monetária ou não monetária para mostrar nosso apreço por sua ajuda. Você é responsável por todos os impostos e quaisquer despesas, custos ou taxas associadas com a sua participação no Programa e qualquer recompensa.
Isenções de Garantia
VOCÊ RECONHECE E CONCORDA EXPRESSAMENTE QUE: (1) SUA PARTICIPAÇÃO NO PROGRAMA E O USO DE QUALQUER RECOMPENSA É POR SUA PRÓPRIA CONTA E RISCO. A HOT GROUP AG EXPRESSAMENTE RENUNCIA A TODAS AS GARANTIAS DE QUALQUER TIPO, EXPRESSAS OU IMPLÍCITAS, INCLUINDO, MAS NÃO LIMITADAS ÀS GARANTIAS IMPLÍCITAS DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM PROPÓSITO PARTICULAR E NÃO-INFRAÇÃO. HOT GROUP AG ESPECIFICAMENTE SE ISENTA DE QUALQUER RESPONSABILIDADE POR QUAISQUER AÇÕES RESULTANTES DE SUA PARTICIPAÇÃO NO PROGRAMA OU DO USO DE QUALQUER PRÊMIO.
Nota final
Pedimos que você siga os princípios da divulgação responsável e dê à nossa equipe de desenvolvimento um tempo razoável para responder e corrigir a questão submetida antes de torná-la pública. Nós pedimos que você se comunique abertamente conosco a respeito do lançamento para que estejamos de acordo sobre o relatório e a linha do tempo.
Muito obrigado, nós realmente apreciamos seus esforços! Divirta-se hackeando!
Se você acredita que encontrou uma vulnerabilidade ou problema e gostaria de participar do nosso programa, por favor, nos forneça uma descrição detalhada do problema, incluindo as medidas que podemos tomar para reproduzir o problema e/ou uma prova de conceito.
Se você enviar um relatório, por favor, dê um tempo razoável para nossa equipe responder ao seu relatório e resolver o problema. Nós apreciamos muito seus esforços para proteger nossa comunidade e podemos recompensar os participantes por sua ajuda. Todos os relatórios estão sujeitos aos termos e condições de nosso programa estabelecidos abaixo e aos Termos e Condições de Serviço disponíveis no site.
Escopo
Nós agradecemos relatórios de quaisquer questões ou vulnerabilidades relacionadas à segurança que você encontrar em nosso website. Entretanto, por favor não recorra ao phishing, spamming ou outros métodos questionáveis que possam assediar nossos usuários ou comprometer seus dados, gerar tráfego significativo ou causar perturbações em nosso website. O uso de ferramentas de escaneamento de segurança automatizado é permitido desde que elas não causem problemas.
Recompensa
A recompensa mínima é de $100 por quebra de segurança. A recompensa depende da gravidade da quebra de segurança. Questões que não afetam a segurança não são elegíveis para uma recompensa, mas ainda assim são bem-vindas e serão tratadas como qualquer outro relatório.
Elegibilidade
- Você deve ser o primeiro a relatar a vulnerabilidade.
- Você não acessa os dados de outros usuários e só usa suas próprias contas criadas.
- Você não deve revelar publicamente a vulnerabilidade até que nós a tenhamos corrigido.
- Você fornecerá uma prova de conceito funcional que explora a vulnerabilidade.
- O relatório de vulnerabilidade será criptografado usando o PGP (veja abaixo para detalhes; veja: Contate-nos).
Exclusão
Registro/desinscrição CSRF
DDoS
Engenharia social em clientes ou funcionários da HOT Group AG
Auto-XSS (precisamos de provas de como o XSS pode ser usado para atacar outro usuário Algolia)
Desconsideração dos limites das tarifas
Relatório de ferramentas e varreduras automatizadas
Vulnerabilidades no envio de spam ou mensagens não autorizadas
Bugs em software de terceiros
Opções de quadro X relacionadas
Relacionado ao HSTS
DNSSEC
Faltam cabeçalhos de segurança que não levam diretamente a uma vulnerabilidade
Ataques físicos à infra-estrutura
Ataques teóricos
Quebrando a confiança no SSL/TLS
Compromisso navegador/dispositivo (por exemplo, compartilhar um computador, acessar fisicamente um dispositivo do usuário, ...)
Vulnerabilidades que afetam apenas usuários de navegadores e plataformas desatualizados ou não
Políticas de recuperação de senha e conta, por exemplo, redefinir a expiração do link ou a complexidade da senha
Vulnerabilidades sem resolução do nosso lado (HEIST, ...)
Registros DNS desatualizados que apontam para um sistema que não nos pertence
Posse e incentivo
Qualquer relatório que você nos enviar torna-se nossa propriedade e nós não somos obrigados a responder a qualquer relatório. Entretanto, se nós respondermos a um relatório, nós poderemos, a nosso critério, fornecer a você uma compensação monetária ou não monetária para mostrar nosso apreço por sua ajuda. Você é responsável por todos os impostos e quaisquer despesas, custos ou taxas associadas com a sua participação no Programa e qualquer recompensa.
Isenções de Garantia
VOCÊ RECONHECE E CONCORDA EXPRESSAMENTE QUE: (1) SUA PARTICIPAÇÃO NO PROGRAMA E O USO DE QUALQUER RECOMPENSA É POR SUA PRÓPRIA CONTA E RISCO. A HOT GROUP AG EXPRESSAMENTE RENUNCIA A TODAS AS GARANTIAS DE QUALQUER TIPO, EXPRESSAS OU IMPLÍCITAS, INCLUINDO, MAS NÃO LIMITADAS ÀS GARANTIAS IMPLÍCITAS DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM PROPÓSITO PARTICULAR E NÃO-INFRAÇÃO. HOT GROUP AG ESPECIFICAMENTE SE ISENTA DE QUALQUER RESPONSABILIDADE POR QUAISQUER AÇÕES RESULTANTES DE SUA PARTICIPAÇÃO NO PROGRAMA OU DO USO DE QUALQUER PRÊMIO.
Nota final
Pedimos que você siga os princípios da divulgação responsável e dê à nossa equipe de desenvolvimento um tempo razoável para responder e corrigir a questão submetida antes de torná-la pública. Nós pedimos que você se comunique abertamente conosco a respeito do lançamento para que estejamos de acordo sobre o relatório e a linha do tempo.
Muito obrigado, nós realmente apreciamos seus esforços! Divirta-se hackeando!