Investors

Programa de divulgación de recompensas por errores

EN     |     FR     |     ES

La comunidad de investigación de seguridad de software hace de la Web un lugar mejor y más seguro. Apoyamos sus esfuerzos de búsqueda de errores con un programa de recompensas.

Para informar una vulnerabilidad, envíenos un correo electrónico a [email protected]

Vulnerabilidades calificadas

Las siguientes direcciones se encuentran actualmente dentro del alcance del programa:

NÓTESE BIEN. Cualquier otro subdominio que no sea www. no son elegibles.

Para ser elegible, un cazador de errores debe demostrar un compromiso de seguridad en cualquiera de estos dominios mediante un exploit reproducible, incluido lo siguiente:

  • Explotaciones de secuencias de comandos entre sitios
  • Explotaciones de falsificación de solicitudes entre sitios
  • Fallos de autenticación o autorización
  • Aplicaciones móviles oficiales de Raiiz Innovations o fallas de API
  • Errores de ejecución de código del lado del servidor
  • Defectos de inyección
  • Errores de configuración de seguridad importantes
  • Sistemas de recomendación y ranking.

Las siguientes vulnerabilidades no califican para el programa de recompensas:

NÓTESE BIEN. Aunque algunas de estas cuestiones pueden ser muy relevantes en otros contextos, en el contexto de Raiiz Innovations, determinamos que no representan un riesgo tan grande. Si cree que estamos equivocados, comuníquese con nosotros.

  1. Auto-XSS.
  2. Iniciar sesión/cerrar sesión en CSRF.
  3. Problema de configuración CSRF sin prueba de concepto explotable. Un caso de prueba de concepto CSRF que requiere Burp o un proxy de red no es válido ni suficiente.
  4. Faltan encabezados de seguridad que no conducen directamente a una vulnerabilidad.
  5. Vulnerabilidades en componentes de terceros utilizados en los sitios de Raiiz Innovations, según la gravedad y la explotabilidad. Por ejemplo, intentamos mantenernos actualizados con las versiones de OpenSSL, pero no todos los problemas de seguridad afectan la configuración de Raiiz Innovations.
  6. Errores que requieren una interacción poco probable del usuario o phishing. Esto incluye problemas comúnmente conocidos como clickjacking o ataque de reparación de UI.
  7. Las empresas recién adquiridas están sujetas a un período de restricción para permitirnos revisar y poner todo al día. Las adquisiciones que salgan del período de restricción se agregarán a la lista de alcance una vez que estén dentro del alcance. Los errores reportados antes normalmente no calificarán para una recompensa.
  8. Límite de tarifas en los correos electrónicos enviados durante el registro, el inicio de sesión y las confirmaciones de cambios por correo electrónico.
  9. Límite de tarifa para fórmulas de ingreso o envío de datos para su inclusión en sitios. 
  10. Los enlaces de inicio de sesión de correo electrónico anteriores no se invalidan en caso de que se soliciten varios enlaces de inicio de sesión. Todos los enlaces caducan en 60-120 minutos.
  11. No se cerró la sesión de la aplicación nativa de Android al cerrar sesión en todas las demás sesiones desde la web. Proporcionamos una experiencia de solo lectura al usuario y evitamos la posibilidad de publicar, recomendar, responder, resaltar y acceder a borradores, marcadores, historial y configuraciones.
  12. El uso de una herramienta de suplantación de correo electrónico para enviar un correo electrónico falsificado como enviado desde un dominio de Raiiz Innovations envía un correo electrónico pero se marca como spam, en lugar de que el correo electrónico no se envíe en absoluto.
  13. Iniciar sesión en los sitios de Raiiz Innovations en varios navegadores/pestañas, o iniciar y cerrar sesión repetidamente, creando así muchas sesiones de usuario.
  14. Derrotar el muro de pago borrando las cookies, navegando de forma privada o creando nuevas sesiones de usuario.
  15. El uso de URL con símbolos Unicode similares también se conoce como ataques homógrafos.

Reglas para visitantes

  • No haga público el error antes de que se haya solucionado.
  • No intente obtener acceso a la cuenta o los datos de otro usuario. Utilice sus propias cuentas de prueba para realizar pruebas entre cuentas.
  • No realice ningún ataque que pueda dañar la confiabilidad/integridad de nuestros servicios o datos. No se permiten ataques DDoS/spam.
  • Pruebe únicamente vulnerabilidades en sitios o aplicaciones operados por los sitios de Raiiz Innovations. Algunos sitios alojados en subdominios de los sitios de Raiiz Innovations pueden ser operados por terceros y no deben probarse.
  • No impacte a otros usuarios con las pruebas, esto incluye pruebas de vulnerabilidades en cuentas que no son de su propiedad. Podemos suspender cualquier cuenta de Raiiz Innovations y prohibir direcciones IP si lo hace.
  • No utilice escáneres ni herramientas automatizadas para encontrar vulnerabilidades. Son ruidosos y podemos suspender su cuenta de Raiiz Innovations y prohibir su dirección IP.
  • No se permiten ataques no técnicos como ingeniería social, phishing o ataques físicos contra nuestros empleados, usuarios o infraestructura.
  • Cuanto más exhaustiva sea la prueba de concepto, mayores serán las posibilidades de que se conceda un pago.
  • En caso de duda, envíe un correo electrónico a [email protected].

Reglas para nosotros

  • Responderemos lo más rápido posible a los envíos de errores.
  • Lo mantendremos informado mientras trabajamos para corregir el error que envió.
  • No emprenderemos acciones legales contra usted si cumple con las reglas y actúa de buena fe.

Recompensas

Según la gravedad del error y la integridad del envío, que decidiremos a nuestro exclusivo criterio, ofrecemos las siguientes recompensas mínimas:

  • Ejecución remota de código: $150
  • Acceso sin restricciones a sistemas de archivos o bases de datos: $100
  • Errores que filtran o eluden controles de seguridad importantes: $100
  • Errores que permiten la manipulación artificial de los sistemas de clasificación y recomendación: 50 dólares
  • Ejecutar código en el cliente, incluido XSS: $10
  • Redirección abierta: $25
  • Otras vulnerabilidades de seguridad válidas: schwag y reconocimiento en humanos.txt.
  • Vulnerabilidades a servicios auxiliares o dependencias de terceros: schwag y reconocimiento.

Asuntos legales y notas finales

Tratamos únicamente con directores, no con agentes de vulnerabilidad.

Si reside en un país que está en una lista de control de exportaciones restringidas de los Estados Unidos o Canadá o está en una lista de criminales buscados o en una lista de control de exportaciones restringidas estatal o federal de los Estados Unidos o Canadá, no es elegible para participar en este programa.

Tomaremos la decisión final sobre la elegibilidad y el valor del error. Este programa existe enteramente a nuestra discreción y puede modificarse o cancelarse en cualquier momento. Cualquier cambio que realicemos en los términos de estos programas no se aplica retroactivamente. Gracias por ayudarnos a hacer que los sitios de Raiiz Innovations sean más seguros.


Raiiz Innovations acknowledge that our operations are situated on the unceded traditional territories of the Indigenous peoples of the Vancouver Lower Mainland of British Columbia. This includes the land of the q́ićəý̓ (Katzie), kʷakʷəkʲəʔwakʷ (Kwakiutl), q́ʷɑ:ńƛ̓əń (Kwantlen), kʷikʷəƛ̓əm (Kwikwetlem), máthxwi (Matsqui), xʷməθkʷəy̓əm (Musqueam), qiqéyt (Qayqayt), se’mya’me (Semiahmoo), Sḵwx̱wú7mesh Úxwumixw (Squamish), scəẃaθən məsteyəxʷ (Tsawwassen), and səlilwətaɬ (Tsleil-Waututh) Nations. We also recognize the Métis Nation and the contributions of Métis peoples in this region.

We are grateful for the opportunity to live and work on this land, and we honor the rich cultural heritage, traditions, and histories of these Indigenous peoples.