Empiece

Bug Bounty program

Found a vulnerability on our platform? Let us know.

About the program

Get rewarded for helping us improve our platform. Reports can cover security vulnerabilities in our services, infrastructure, and applications.

Sitio web

Problemas en TradingView.com y sus subdominios.

Aplicaciones móviles

Problemas en las plataformas iOS y Android.

Soluciones de gráficos 

Errores en herramientas, widgets o API.

Desktop App

Errores o problemas de rendimiento en la aplicación de escritorio.

Reward levels

Your reward depends on the type of vulnerability reported and its overall security impact.

  • Remote code execution (RCE) or administrator access
  • High-impact injection vulnerabilities
  • Unrestricted access to local files or databases
  • Authentication bypass allowing modification of user data or access to private data
  • Subdomain takeover
  • Logical flaws causing financial impact e.g., obtaining a subscription for free
  • Cross-site scripting (XSS), excluding self-XSS
  • Cross-site request forgery (CSRF)
  • User reputation manipulation
  • Low-impact injection vulnerabilities
  • Bypassing user restrictions

Reward amounts can vary. The actual reward may change depending on the severity, genuineness, and exploitation possibilities of bugs, as well as the environment and other factors that affect security.

Las vulnerabilidades relacionadas con los servicios auxiliares, como Wiki, Blog, etc., así como las de entornos ajenos a la producción, como 'beta', 'staging', 'demo', etc., se gratifican solo cuando afectan al conjunto de nuestro servicio o en el caso de que provoquen una fuga de datos confidenciales del usuario.

Normas

  1. Un informe de errores debe incluir una descripción pormenorizada de la vulnerabilidad descubierta y los pasos que se deben seguir con el objeto de reproducirla, así como una demostración conceptual que funcione. Si no se describe el caso de vulnerabilidad en detalle, nos puede llevar mucho tiempo revisar el informe e, incluso, puede que llegue a rechazarse.
  2. Por favor, envíe solo una vulnerabilidad por informe, a menos que sea preciso vincular otras porque pueden generar una mayor repercusión.
  3. Solo se incentivará a la primera persona que informe de una vulnerabilidad desconocida. Cuando se produzcan duplicidades, solo recompensaremos al primer informe en el caso de que la vulnerabilidad pueda reproducirse en su totalidad.
  4. Se descartarán aquellos informes que hayan utilizado herramientas y escáneres automatizados para encontrar vulnerabilidades.
  5. You should not perform any attack that could damage our services or data including client data. If it's discovered that DDoS, spam, and brute force attacks have occurred rewards will not be given.
  6. No debe implicar a otros usuarios sin su consentimiento explícito. Genere ideas, scripts y cualquier otro contenido privado mientras realiza sus pruebas.
  7. No debe intentar o llevar a cabo ataques de carácter no técnico, como ingeniería social (p.ej. phishing, vishing, smishing), ni ataques físicos contra nuestros empleados, usuarios o infraestructura en general.
  8. Por favor, proporcione un informe detallado con pasos reproducibles. Si el informe no es lo suficientemente detallado como para reproducir el problema, éste no podrá optar a recibr una recompensa.
  9. Las vulnerabilidades múltiples causadas por un problema subyacente recibirán una recompensa.
  10. Por favor, haga un esfuerzo de buena fe para evitar cualquier incumplimiento de la privacidad, la destrucción de datos y la interrupción o degradación de nuestro servicio.

Vulnerabilidades fuera de alcance

The following issues are considered out of scope.

  • Vulnerabilities in users' software or vulnerabilities that require full access to user's software, account/s, email, phone etc
  • Vulnerabilities or leaks in third-party services
  • Vulnerabilities or old versions of third party software/protocols, missed protection as well as a deviation from best practices that don't create a security threat
  • Vulnerabilities with no substantial security impact or exploitation possibility
  • Vulnerabilities that require the user to perform unusual actions
  • Disclosure of public or non-sensitive information
  • Homograph attacks
  • Vulnerabilities that require rooted, jailbroken or modified devices and applications
  • Any activity that could lead to the disruption of our service

There are several examples of such vulnerabilities that are not rewarded.

  • EXIF geolocation data not stripped
  • Clickjacking on pages with no sensitive actions
  • Cross-Site Request Forgery (CSRF) on unauthenticated forms or forms with no sensitive actions, logout CSRF
  • Weak ciphers or TLS configuration without a working Proof of Concept
  • Content spoofing or injection issues without showing an attack vector
  • Rate limiting or brute force issues on non-authentication endpoints
  • Missing HttpOnly or Secure flags on cookies
  • Software version disclosure. Banner identification issues. Descriptive error messages or headers (e.g. stack traces, application or server errors)
  • Public zero-day vulnerabilities that have had an official patch for less than 1 month will be awarded on a case by case basis
  • Tabnabbing
  • User existence. User, email or phone number enumeration
  • Lack of password complexity restrictions