TradingView

Bug Bounty Program

Si desea informarnos sobre una vulnerabilidad, envíe un comunicado a través de HackerOne.

El alcance del programa

Ofrecemos gratificaciones por cualquier información aportada respecto a cualquier vulnerabilidad relacionada con la seguridad de nuestros servicios, la infraestructura, además de las aplicaciones web y móviles, en concreto:

TradingView.com, así como sus subdominios

Aplicación nativa de iOS

Aplicación nativa de Android

Charting solutions

App Desktop

Incentivos

Su gratificación dependerá de la vulnerabilidad descubierta, así como de su impacto en la seguridad. Consulte la información detallada abajo.

Máximo

Por una vulnerabilidad que afecta a toda nuestra plataforma

  • Ejecución remota del código (RCE)
  • Obtener acceso de administrador
  • Inyecciones con un impacto significativo.
  • Acceso ilimitado a archivos o bases de datos locales.
  • Falsificación de solicitudes del lado del servidor (SSRF)
  • Divulgación de información crítica

Medium

Por una vulnerabilidad que no requiere la interacción del usuario y afecta a muchos usuarios

  • Ejecución de comandos en sitios cruzados de forma almacenada (Stored Cross-Site Scripting, XSS) con un impacto significativo
  • Salto de las medidas de autenticación que permite cambiar los datos del usuario o acceder a datos privados.
  • Referencia directa insegura a objetos (IDOR)
  • Subdomain takeover

Mínimo

Por una vulnerabilidad que requiere la interacción del usuario o afecta a usuarios personales

  • Cross-Site Scripting (XSS), excepto self-XSS
  • Falsificación de solicitudes en sitios cruzados (CSRF)
  • Redirección de URL
  • Manipulación de la reputación del usuario

Tenga en cuenta que los importes de gratificación pueden ser diferentes. Una gratificación real puede variar en función de la gravedad, la autenticidad y las posibilidades de utilización de los errores, así como por el entorno y otros factores que afectan la seguridad.

Las vulnerabilidades de los servicios auxiliares, como Wiki, Blog, etc., así como las de los entornos a efectos distintos de la producción, como 'beta', 'ensayo', 'demostración', etc., se gratifican solo cuando afectan a nuestro servicio en conjunto o cuando pueden provocar una pérdida de datos confidenciales del usuario.

Normas

  1. Un informe de errores debe incluir una descripción pormenorizada de la vulnerabilidad descubierta y los pasos que se deben seguir con el objeto de reproducirla, así como una demostración conceptual que funcione. Si no describe el caso de vulnerabilidad en detalle, nos puede llevar mucho tiempo revisar el informe e, incluso, puede que se rechace el informe.
  2. Please only submit one vulnerability per report, unless you need to chain vulnerabilities to provide impact.
  3. Only the first person to report an unknown vulnerability will be rewarded. When duplicates occur, we will only award the first report if the vulnerability can be fully reproduced.
  4. Se descartarán aquellos informes que hayan utilizado herramientas y escáneres automatizados para encontrar vulnerabilidades.
  5. No debe realizar ningún ataque que pueda dañar tanto a nuestros servicios y datos, como a los de nuestros clientes. No se permiten DDoS, spam o ataques por fuerza bruta.
  6. No debe implicar a otros usuarios sin su consentimiento explícito.
  7. No debe efectuar, ni intentar realizar ataques de carácter no técnico, como ingeniería social, phishing o ataques físicos contra nuestros empleados, usuarios o infraestructura en general.
  8. Please provide detailed reports with reproducible steps. If the report is not detailed enough to reproduce the issue, the issue will not be eligible for a reward.
  9. Multiple vulnerabilities caused by one underlying issue will be awarded one bounty.
  10. Please make a good faith effort to avoid privacy violations, destruction of data, and interruption or degradation of our service.

Out of scope vulnerabilities

The following issues are considered out of scope:

  • Cuando existan vulnerabilidades en el software del usuario o cuando éstas requieran acceso completo al software del usuario, cuenta/s, correo electrónico, teléfono, etc.
  • Cualquier vulnerabilidad o filtración en el los servicios de terceros;
  • Vulnerabilidades o versiones antiguas del software o de los protocolos de terceros, omisión de protección, así como una desviación de las mejores prácticas que no generen una amenaza de seguridad;
  • Vulnerabilidades que no impacten de modo sustancial en la seguridad o en la posibilidad de utilización;
  • Vulnerabilidades que requieren que el usuario lleve a cabo acciones inusuales;
  • Divulgación de información pública o no confidencial;
  • Ataques homográficos;
  • Vulnerabilidades que requieren aplicaciones o dispositivos "rooteados", liberados o modificados.
  • Any activity that could lead to the disruption of our service.

There are several examples of such vulnerabilities that are not rewarded:

  • EXIF geolocation data not stripped.
  • Clickjacking on pages with no sensitive actions.
  • Cross-Site Request Forgery (CSRF) on unauthenticated forms or forms with no sensitive actions, logout CSRF.
  • Weak ciphers or TLS configuration without a working Proof of Concept.
  • Content spoofing or injections issues without showing an attack vector.
  • Rate limiting or brute force issues on non-authentication endpoints.
  • Missing HttpOnly or Secure flags on cookies.
  • Software version disclosure. Banner identification issues. Descriptive error messages or headers (e.g. stack traces, application or server errors).
  • Public zero-day vulnerabilities that have had an official patch for less than 1 month will be awarded on a case by case basis.
  • Tabnabbing.
  • User existence. User, email or phone number enumeration.
  • Lack of password complexity restrictions.

Cazadores de recompensas

Nuestro más sincero agradecimiento por sus contribuciones a los investigadores que se relacionan a continuación.

card-icon

Abhishek

card-icon

Vikram Naidu

card-icon

Faeeq Jalali

card-icon

Pascal Zenker

card-icon

Sahil Mehra

card-icon

Shivam Kamboj Dattana

card-icon

Aaron Luo

card-icon

Maxence Schmitt

card-icon

Sumit Jain

card-icon

Ali Tütüncü

card-icon

Kitab Ahmed

card-icon

Jatinder Pal Singh

card-icon

Eugen Lague