Empiece

Programa de recompensas por encontrar errores

¿Ha detectado una vulnerabilidad en nuestra plataforma? Infórmenos.

Acerca del programa

Reciba una recompensa por ayudarnos a mejorar nuestra plataforma. Los informes pueden abarcar vulnerabilidades de seguridad en nuestros servicios, infraestructura y aplicaciones.

Sitio web

Problemas en TradingView.com y sus subdominios.

Aplicaciones móviles

Problemas en las plataformas iOS y Android.

Soluciones de gráficos 

Errores en herramientas, widgets o API.

Desktop App

Errores o problemas de rendimiento en la aplicación de escritorio.

Niveles de recompensa

Su recompensa depende del tipo de vulnerabilidad notificada y de su impacto general en la seguridad.

  • Ejecución remota de código (RCE) o acceso de administrador
  • Vulnerabilidades de inyección con alto impacto
  • Acceso ilimitado a archivos o bases de datos locales
  • Omisión de la autenticación que permite modificar los datos de los usuarios o acceder a datos privados
  • Adquisición de subdominios
  • Fallos lógicos que provocan un impacto financiero, por ejemplo, obtener una suscripción gratuita
  • Cross-site scripting (XSS), excluyendo el auto-XSS
  • Falsificación de solicitudes entre sitios (CSRF)
  • Manipulación de la reputación del usuario
  • Vulnerabilidades de inyección con bajo impacto
  • Eludir restricciones de usuario

Las cantidades de las recompensas pueden variar. El valor real final de la recompensa dependerá de la gravedad, la autenticidad y las posibilidades de explotación de los errores, así como el entorno y otros factores que afecten a la seguridad.

Las vulnerabilidades relacionadas con los servicios auxiliares, como Wiki, Blog, etc., así como las de entornos ajenos a la producción, como 'beta', 'staging', 'demo', etc., se gratifican solo cuando afectan al conjunto de nuestro servicio o en el caso de que provoquen una fuga de datos confidenciales del usuario.

Normas

  1. Un informe de errores debe incluir una descripción pormenorizada de la vulnerabilidad descubierta y los pasos que se deben seguir con el objeto de reproducirla, así como una demostración conceptual que funcione. Si no se describe el caso de vulnerabilidad en detalle, nos puede llevar mucho tiempo revisar el informe e, incluso, puede que llegue a rechazarse.
  2. Por favor, envíe solo una vulnerabilidad por informe, a menos que sea preciso vincular otras porque pueden generar una mayor repercusión.
  3. Solo se incentivará a la primera persona que informe de una vulnerabilidad desconocida. Cuando se produzcan duplicidades, solo recompensaremos al primer informe en el caso de que la vulnerabilidad pueda reproducirse en su totalidad.
  4. Se descartarán aquellos informes que hayan utilizado herramientas y escáneres automatizados para encontrar vulnerabilidades.
  5. No debe realizar ningún ataque que pueda dañar nuestros servicios o datos, incluidos los datos de los clientes. Si se detecta que se han producido ataques DDoS, spam y de fuerza bruta, no se otorgarán recompensas.
  6. No debe implicar a otros usuarios sin su consentimiento explícito. Genere ideas, scripts y cualquier otro contenido privado mientras realiza sus pruebas.
  7. No debe intentar o llevar a cabo ataques de carácter no técnico, como ingeniería social (p.ej. phishing, vishing, smishing), ni ataques físicos contra nuestros empleados, usuarios o infraestructura en general.
  8. Por favor, proporcione un informe detallado con pasos reproducibles. Si el informe no es lo suficientemente detallado como para reproducir el problema, éste no podrá optar a recibr una recompensa.
  9. Las vulnerabilidades múltiples causadas por un problema subyacente recibirán una recompensa.
  10. Por favor, haga un esfuerzo de buena fe para evitar cualquier incumplimiento de la privacidad, la destrucción de datos y la interrupción o degradación de nuestro servicio.

Vulnerabilidades fuera de alcance

Los siguientes cuestiones se consideran fuera del alcance.

  • Vulnerabilidades en el software de los usuarios o aquellas que requieren acceso completo a su software, cuentas, correo electrónico, teléfono, etc.
  • Vulnerabilidades o brechas en servicios de terceros
  • Vulnerabilidades o versiones obsoletas de software o protocolos de terceros, falta de protección, así como desviaciones de las mejores prácticas que no representen una amenaza para la seguridad
  • Vulnerabilidades sin impacto sustancial en la seguridad ni posibilidad de explotación
  • Vulnerabilidades que requieren que el usuario realice acciones inusuales
  • Divulgación de información pública o de carácter no confidencial
  • Ataques homográficos
  • Vulnerabilidades que requieren aplicaciones y dispositivos rooteados, con jailbreak o modificados
  • Cualquier actividad que pueda provocar la interrupción de nuestro servicio

Hay varios ejemplos de vulnerabilidades de este tipo que no obtienen recompensa.

  • Datos de geolocalización EXIF no eliminados
  • Clickjacking en páginas sin acciones de carácter confidencial
  • Falsificación de solicitudes entre sitios (CSRF) en formularios no autenticados o formularios sin acciones de carácter confidencial, CSRF de cierre de sesión.
  • Cifrados débiles o configuración TLS sin una prueba de concepto funcional
  • Problemas de suplantación o inyección de contenido sin mostrar un vector de ataque
  • Problemas relacionados con la limitación de velocidad o ataques de fuerza bruta en puntos finales (endpoints) sin autenticación
  • Faltan los indicadores HttpOnly o Secure en las cookies
  • Información sobre la versión del software. Problemas relacionados con la identificación de banners. Mensajes de error descriptivos o encabezados (por ejemplo, seguimientos de pila, errores de aplicación o de servidor)
  • Las vulnerabilidades públicas de día cero, cuyo parche oficial haya estado vigente durante menos de un mes, se recompensarán caso por caso.
  • Tabnabbing
  • Existencia del usuario. Enumeración de usuarios, correos electrónicos o números de teléfono
  • Falta de restricciones en cuanto a la complejidad de las contraseñas