Programa Bug Bounty

de TradingView

Si desea informarnos sobre una vulnerabilidad, envíe un comunicado a través de HackerOne.

Alcance del programa

Ofrecemos recompensas por aportar información sobre vulnerabilidades de seguridad de nuestros servicios, infraestructura y aplicaciones, por ejemplo:

TradingView.com, así como sus subdominios

Aplicación nativa de iOS

Aplicación nativa de Android

Soluciones gráficas

Desktop App

Recompensas

Su recompensa dependerá de la vulnerabilidad descubierta, así como de su impacto en la seguridad. Consulte los detalles abajo.

Máximo

Por una vulnerabilidad que afecta a toda nuestra plataforma

  • Ejecución remota del código (RCE)
  • Obtener acceso de administrador
  • Inyecciones con un impacto significativo.
  • Acceso ilimitado a archivos o bases de datos locales.
  • Falsificación de solicitudes del lado del servidor (SSRF)
  • Divulgación de información crítica

Medio

Por una vulnerabilidad que no requiere la interacción del usuario y afecta a muchos usuarios

  • Ejecución de comandos en sitios cruzados de forma almacenada (Stored Cross-Site Scripting, XSS) con un impacto significativo
  • Salto de las medidas de autenticación que permite cambiar los datos del usuario o acceder a datos privados.
  • Referencia directa insegura a objetos (IDOR)
  • Adquisición de subdominios

Mínimo

Por una vulnerabilidad que requiere la interacción del usuario o afecta a usuarios personales

  • Cross-Site Scripting (XSS), excepto self-XSS
  • Falsificación de solicitudes en sitios cruzados (CSRF)
  • Redirección de URL
  • Manipulación de la reputación del usuario

Tenga en cuenta que los importes de las recompensas pueden ser distintos. Una recompensa real puede variar en función de la gravedad, la autenticidad y las posibilidades de utilización de los errores, así como por el entorno y otros factores que afectan la seguridad.

Las vulnerabilidades relacionadas con los servicios auxiliares, como Wiki, Blog, etc., así como las de entornos ajenos a la producción, como 'beta', 'staging', 'demo', etc., se gratifican solo cuando afectan al conjunto de nuestro servicio o en el caso de que provoquen una fuga de datos confidenciales del usuario.

Normas

  1. Un informe de errores debe incluir una descripción pormenorizada de la vulnerabilidad descubierta y los pasos que se deben seguir con el objeto de reproducirla, así como una demostración conceptual que funcione. Si no se describe el caso de vulnerabilidad en detalle, nos puede llevar mucho tiempo revisar el informe e, incluso, puede que llegue a rechazarse.
  2. Por favor, envíe solo una vulnerabilidad por informe, a menos que sea preciso vincular otras porque pueden generar una mayor repercusión.
  3. Solo se incentivará a la primera persona que informe de una vulnerabilidad desconocida. Cuando se produzcan duplicidades, solo recompensaremos al primer informe en el caso de que la vulnerabilidad pueda reproducirse en su totalidad.
  4. Se descartarán aquellos informes que hayan utilizado herramientas y escáneres automatizados para encontrar vulnerabilidades.
  5. No debe llevar a cabo ataques que perjudiquen a nuestros servicios o datos, incluidos los de nuestros clientes. No se permiten DDoS, spam o ataques de fuerza bruta.
  6. No debe implicar a otros usuarios sin su consentimiento explícito. Genere ideas, scripts y cualquier otro contenido privado mientras realiza sus pruebas.
  7. No debe intentar o llevar a cabo ataques de carácter no técnico, como ingeniería social (p.ej. phishing, vishing, smishing), ni ataques físicos contra nuestros empleados, usuarios o infraestructura en general.
  8. Por favor, proporcione un informe detallado con pasos reproducibles. Si el informe no es lo suficientemente detallado como para reproducir el problema, éste no podrá optar a recibr una recompensa.
  9. Las vulnerabilidades múltiples causadas por un problema subyacente recibirán una recompensa.
  10. Por favor, haga un esfuerzo de buena fe para evitar cualquier incumplimiento de la privacidad, la destrucción de datos y la interrupción o degradación de nuestro servicio.

Vulnerabilidades fuera de alcance

Las siguientes cuestiones se consideran fuera de alcance:

  • Cuando existan vulnerabilidades en el software de los usuarios o cuando éstas requieran pleno acceso al software, a la/s cuenta/s, al correo electrónico, al teléfono del usuario, etc.
  • Cualquier vulnerabilidad o filtración en los servicios de terceros;
  • Vulnerabilidades o versiones antiguas del software o de los protocolos de terceros, omisión de protección, así como una desviación de las mejores prácticas que no generen una amenaza de seguridad.
  • Vulnerabilidades que no impacten de modo sustancial en la seguridad o en la posibilidad de utilización.
  • Vulnerabilidades que requieren que el usuario lleve a cabo acciones inusuales.
  • Divulgación de información pública o no confidencial.
  • Ataques homográficos.
  • Vulnerabilidades que requieren aplicaciones o dispositivos "rooteados", liberados o modificados.
  • Cualquier actividad que pueda llevar a la interrupción de nuestro servicio.

Existen varios ejemplos de este tipo de vulnerabilidades en los que no se recibe recompensa:

  • Los datos de geolocalización EXIF no se han eliminado.
  • El clickjacking en páginas sin actividad sensible.
  • Falsificación de petición en sitios cruzados (CSRF) en formularios no autentificados o sin actividad sensible, CSRF de cierre de sesión.
  • Cifras débiles o configuración de la seguridad de la capa de transporte (TLS) sin una prueba de concepto que funcione.
  • Problemas de suplantación o inyección de contenidos sin mostrar un vector de ataque.
  • Problemas de limitación de velocidad o de fuerza bruta en puntos finales no autentificados.
  • Faltan las banderas HttpOnly o Secure en las cookies.
  • Divulgación de la versión del software. Problemas de identificación de banners. Mensajes de error o cabeceras descriptivas (por ejemplo, seguimientos de la pila, errores de la aplicación o del servidor).
  • Las vulnerabilidades públicas de día cero que hayan tenido un parche oficial durante menos de un mes se recompensarán caso por caso.
  • Tabnabbing.
  • Existencia del usuario. Enumeración del usuario, correo electrónico o número de teléfono.
  • Carencia de restricciones en la complejidad de las contraseñas.

Cazadores de recompensas

Nuestro más sincero agradecimiento a los siguientes investigadores por sus contribuciones.

card-icon

Abhishek

card-icon

Vikram Naidu

card-icon

Faeeq Jalali

card-icon

Pascal Zenker

card-icon

Sahil Mehra

card-icon

Shivam Kamboj Dattana

card-icon

Aaron Luo

card-icon

Maxence Schmitt

card-icon

Sumit Jain

card-icon

Ali Tütüncü

card-icon

Kitab Ahmed

card-icon

Jatinder Pal Singh

card-icon

Eugen Lague