Programa Bug Bounty de TradingView

Si ha encontrado un problema de seguridad y desea informarnos al respecto, rogamos nos envíe un correo electrónico a

El alcance del programa

Ofrecemos gratificaciones por cualquier información aportada respecto a cualquier vulnerabilidad relacionada con la seguridad de nuestros servicios, la infraestructura, además de las aplicaciones web y móviles, en concreto:

TradingView.com, así como sus subdominios
Aplicación nativa de iOS
Aplicación nativa de Android
Biblioteca de gráficos y Terminal de trading

Incentivos

Su gratificación dependerá de la vulnerabilidad descubierta, así como de su impacto en la seguridad. Consulte la información detallada abajo.
hasta$1500
Por una vulnerabilidad que afecta a toda nuestra plataforma
  • Ejecución remota del código (RCE)
  • Obtener acceso de administrador
  • Inyecciones con un impacto significativo.
  • Acceso ilimitado a archivos o bases de datos locales.
  • Falsificación de solicitudes del lado del servidor (SSRF)
  • Divulgación de información crítica
hasta$700
Por una vulnerabilidad que no requiere la interacción del usuario y afecta a muchos usuarios
  • Ejecución de comandos en sitios cruzados de forma almacenada (Stored Cross-Site Scripting, XSS) con un impacto significativo
  • Salto de las medidas de autenticación que permite cambiar los datos del usuario o acceder a datos privados.
  • Referencia directa insegura a objetos (IDOR)
hasta$300
Por una vulnerabilidad que requiere la interacción del usuario o afecta a usuarios personales
  • Cross-Site Scripting (XSS), excepto self-XSS
  • Falsificación de solicitudes en sitios cruzados (CSRF)
  • Redireccionamiento de URL
  • Manipulación de la reputación del usuario
Tenga en cuenta que los importes de gratificación pueden ser diferentes. Una gratificación real puede variar en función de la gravedad, la autenticidad y las posibilidades de utilización de los errores, así como por el entorno y otros factores que afectan la seguridad.

Las vulnerabilidades de los servicios auxiliares, como Wiki, Blog, etc., así como las de los entornos a efectos distintos de la producción, como 'beta', 'ensayo', 'demostración', etc., se gratifican solo cuando afectan a nuestro servicio en conjunto o cuando pueden provocar una pérdida de datos confidenciales del usuario.

Deberá tener una identificación en PayPal, ya que usamos este sistema para enviar los incentivos.

NO recibirá gratificación alguna si detecta las siguientes vulnerabilidades:

  • Cuando no sea el primero en informar sobre una vulnerabilidad concreta;
  • Cuando existan vulnerabilidades en el software del usuario o cuando éstas requieran acceso completo al software del usuario, cuenta/s, correo electrónico, teléfono, etc.;
  • Cualquier vulnerabilidad o filtración en el los servicios de terceros;
  • Vulnerabilidades o versiones antiguas del software o de los protocolos de terceros, omisión de protección, así como una desviación de las mejores prácticas que no generen una amenaza de seguridad;
  • Vulnerabilidades que no impacten de modo sustancial en la seguridad o en la posibilidad de utilización;
  • Vulnerabilidades que requieren que el usuario lleve a cabo acciones inusuales;
  • Divulgación de información pública o no confidencial;
  • Ataques homográficos;
  • Vulnerabilidades que requieren aplicaciones o dispositivos "rooteados", liberados o modificados.

Normas

  1. Por favor, tenga paciencia ya que los informes se suelen revisar en un plazo de dos semanas y, en ocasiones, necesitamos algo de tiempo para solucionar el problema.
  2. Un informe de errores debe incluir una descripción pormenorizada de la vulnerabilidad descubierta y los pasos que se deben seguir con el objeto de reproducirla, así como una demostración conceptual que funcione. Si no describe el caso de vulnerabilidad en detalle, nos puede llevar mucho tiempo revisar el informe e, incluso, puede que se rechace el informe.
  3. Se descartarán aquellos informes que hayan utilizado herramientas y escáneres automatizados para encontrar vulnerabilidades.
  4. No debe realizar ningún ataque que pueda dañar tanto a nuestros servicios y datos, como a los de nuestros clientes. No se permiten DDoS, spam o ataques por fuerza bruta.
  5. No debe implicar a otros usuarios sin su consentimiento explícito.
  6. No debe efectuar, ni intentar realizar ataques de carácter no técnico, como ingeniería social, phishing o ataques físicos contra nuestros empleados, usuarios o infraestructura en general.

Cazadores de recompensas

Nuestro más sincero agradecimiento por sus contribuciones a los investigadores que se relacionan a continuación.

card-icon
Aaron Luo
card-icon
Maxence Schmitt
card-icon
Sumit Jain
card-icon
Ali Tütüncü
card-icon
Kitab Ahmed
card-icon
Jatinder Pal Singh
card-icon
Eugen Lague
Inicio Analizador de acciones Analizador de Forex Crypto Screener Calendario económico Cómo funciona Funcionalidades del gráfico Precios Recomendar a un amigo Normas Centro de ayuda Soluciones broker y sitio web Widgets Soluciones gráficas Biblioteca de gráficos ligeros Blog y Noticias Twitter
Perfil Opciones de configuración del perfil Cuenta y facturación Recomendar a un amigo Mis Tickets de Soporte Centro de ayuda Ideas publicadas Seguidores Siguiendo Mensajes privados Chat Cerrar sesión