Programa Bug Bounty de TradingView

Si ha encontrado un problema de seguridad y desea informarnos al respecto, rogamos nos envíe un correo electrónico a

El alcance del programa

Ofrecemos incentivos por cualquier información relacionada con vulnerabilidades de seguridad en nuestros servicios, infraestructura, así como aplicaciones web y móviles.

Su estudio puede cubrir:

Tradingview.com asi como los subdominios
Aplicación nativa de iOS
Aplicación nativa de Android
La biblioteca de gráficos y el terminal de trading

Incentivos

Su recompensa dependerá de la vulnerabilidad descubierta, así como de su impacto en la seguridad. Vea los detalles abajo.
hasta$1500
La vulnerabilidad afecta a todo nuestro servicio
  • Ejecución remota de código (RCE)
  • Obteniendo acceso de administrador
  • Vulnerabilidades con impacto significativo.
  • Acceso sin restricciones a archivos o bases de datos locales.
  • Falsificación de solicitudes del lado del servidor (SSRF)
  • Divulgación de información crítica
hasta$700
La vulnerabilidad no requiere la interacción del usuario y afecta a muchos usuarios
  • Ejecución de comandos en sitios cruzados(XSS) con impacto significativo
  • Bypass de autenticación que permite cambiar los datos del usuario o acceder a datos privados.
  • Referencia directa a objetos insegura (IDOR)
hasta$300
La vulnerabilidad requiere la interacción del usuario o afecta a usuarios individuales
  • Cross-Site Scripting (XSS), excepto self-XSS
  • La Falsificación de solicitud entre sitios (CSRF)
  • Redireccionamiento de URL
  • Manipulación de la reputación del usuario
Tenga en cuenta que las recompensas pueden ser diferentes. Una recompensa real puede variar según la gravedad, la autenticidad y las posibilidades de explotación de los errores, así como el entorno y otros factores que afectan la seguridad.

Las vulnerabilidades de los servicios auxiliares, como Wiki, Blog, etc., y las vulnerabilidades de los entornos que no son de producción, como 'beta', 'puesta en escena', 'demostración', etc., se recompensan solo cuando afectan a nuestro servicio en su conjunto o pueden causar datos confidenciales del usuario.

Deberá tener una identificación en PayPal, ya que usamos este sistema para enviar los incentivos.

NO recibirá una recompensa por el descubrimiento de las siguientes vulnerabilidades:

  • No eres el primero en reportar esta vulnerabilidad;
  • Vulnerabilidades en el software del usuario o vulnerabilidades que requieren acceso completo al software del usuario, cuenta / s, correo electrónico, teléfono, etc.;
  • vulnerabilidades o filtraciones en servicios de terceros;
  • Vulnerabilidades o versiones antiguas de software / protocolos de terceros, protección perdida, así como una desviación de las mejores prácticas que no crean una amenaza a la seguridad;
  • Vulnerabilidades sin impacto sustancial en la seguridad o posibilidad de explotación;
  • Vulnerabilidades que requieren que el usuario realice acciones inusuales;
  • Divulgación de información pública o no confidencial;
  • Ataques homografícos
  • Vulnerabilidades que requieren dispositivos y aplicaciones rooteados, liberados o modificados.

Normas

  1. Hasta que no le demos nuestra aprobación, no difunda ningún error. Rogamos tenga paciencia ya que los informes se revisan en un plazo de dos semanas y necesitamos tiempo para corregir los errores.
  2. Un informe de errores debe incluir una descripción pormenorizada de la vulnerabilidad descubierta y los pasos que se deben seguir con el objeto de reproducirla, así como una demostración conceptual que funcione. Si no describe el caso de vulnerabilidad en detalle, nos puede llevar mucho tiempo revisar el informe e, incluso, puede que se rechace el informe.
  3. No debe utilizar herramientas y escáneres automatizados para encontrar vulnerabilidades, ya que dichos informes no serán revisados.
  4. No debe realizar ningún ataque que pueda dañar nuestros servicios, nuestros datos o los de nuestros clientes. No se permiten DDoS, spam o ataques de fuerza bruta.
  5. No debe implicar a otros usuarios sin su consentimiento explícito.
  6. No debe efectuar, ni intentar realizar ataques de carácter no técnico, como ingeniería social, phishing o ataques físicos contra nuestros empleados, usuarios o infraestructura.
Inicio Analizador de acciones Analizador de Forex Crypto Screener Calendario económico Cómo funciona Funcionalidades del gráfico Precios Normas Moderadores Soluciones broker y sitio web Widgets Soluciones gráficas Centro de ayuda Solicitud de funcionalidad Blog y Noticias Preguntas frecuentes Wiki Twitter
Perfil Opciones de configuración del perfil Cuenta y facturación Monedas TradingView Mis Tickets de Soporte Centro de ayuda Ideas publicadas Seguidores Siguiendo Mensajes privados Chat Cerrar sesión