Seguranca

Programa Bug Bounty. Encontre vulnerabilidades, seja recompensado.

Ajude-nos a melhorar nossa seguranca e ganhe recompensas. Convidamos pesquisadores de seguranca a testar nossos sistemas de forma responsavel. Se voce encontrar uma vulnerabilidade, pagaremos pela sua denuncia.

Reportar uma vulnerabilidade

Regras

Regras basicas

  • Teste com cuidado: nao interrompa nossos servicos e nao use ferramentas de varredura automatizadas.
  • Use apenas sua propria conta de teste. Nunca tente acessar contas de outros usuarios.
  • Notifique-nos imediatamente se voce obtiver acesso aos nossos sistemas internos.
  • Mantenha suas descobertas confidenciais ate que tenhamos resolvido o problema.
  • Apenas a primeira pessoa a reportar uma vulnerabilidade especifica recebe a recompensa.

Escopo

O que estamos procurando

Recompensamos descobertas que representam riscos reais de seguranca. As recompensas sao maiores para problemas criticos:

  • Acesso nao autorizado a dados de outros usuarios (simplesmente confirmar a existencia de uma conta nao conta).
  • Evadir controles de seguranca da API (ex: evasao de rate-limit, bypass de autenticacao).
  • Vulnerabilidades de Cross-site scripting (XSS).
  • Execucao remota de codigo em nossos servidores.
  • Injecao SQL ou outros ataques de injecao.
  • Falhas de autenticacao ou gerenciamento de sessao.

So recompensamos vulnerabilidades de seguranca que possam prejudicar usuarios ou seus dados, nao bugs cosmeticos ou funcionalidades quebradas.

Exclusoes

O que nao pagamos

  • Ataques de negacao de servico (DoS/DDoS) ou tentativas de forca bruta.
  • Problemas de conteudo misto ou configuracao SSL.
  • Engenharia social ou ataques de phishing.
  • Vulnerabilidades teoricas sem prova de conceito funcional.
  • Headers de seguranca ausentes ou configuracoes de endurecimento padrao (ex: politica de senha, verificacao de email).
  • Vulnerabilidades em servicos de terceiros ou dependencias fora do nosso controle.

Recompensas

Como pagamos

Quanto mais critica a vulnerabilidade, maior a recompensa. Nao ha teto fixo. Se voce encontrar algo particularmente serio ou inteligente, recompensaremos de acordo. Os valores sao determinados com base no impacto potencial da vulnerabilidade.

Os pagamentos sao feitos em USD via PayPal apos verificacao e resolucao da vulnerabilidade. Taxas padrao do PayPal se aplicam.

Reportar

Como reportar

01

Enviar

Preencha o formulario de relatorio abaixo com uma descricao detalhada e prova de conceito.

02

Revisao

Nossa equipe de seguranca revisara seu relatorio e respondera em ate 7 dias uteis.

03

Resolucao

Trabalhamos em uma correcao. Podemos entrar em contato para detalhes adicionais.

04

Recompensa

Uma vez verificada e resolvida a vulnerabilidade, processamos sua recompensa em USD via PayPal.

Reportar uma vulnerabilidade

Preencha o formulario abaixo com o maximo de detalhes possivel. Inclua etapas de reproducao, avaliacao de impacto e qualquer prova de conceito.