Programa Bug bounty

revenuebotbrinda una retribución por encontrar un error en el sistema. Si usted encuentra un error en el sistema, por favor repórtelo a nuestro equipo de Asistencia Técnica.

¿Cuál será la retribución?

La retribución que recibirá por encontrar errores dependerá del grado de dificultad. Los errores detectados pueden dividirse en tres grupos:

  • La vulnerabilidad que requiere la interacción del usuario o que afecta a usuarios individuales. Por ejemplo, la falsificación de petición en sitios cruzados (CSRF); la manipulación de la reputación del usuario.
  • La vulnerabilidad que no requiere la interacción del usuario y afecta a muchos usuarios. Por ejemplo, la secuencia de comandos en sitios cruzados (XSS) con un impacto significativo; la evasión de la autenticación, permitiendo la modificación de los datos del usuario o el acceso a los datos personales.
  • La vulnerabilidad que afecta a toda nuestra plataforma. Por ejemplo, la falsificación de peticiones del lado del servidor (SSRF), la Obtención de privilegios de administrador o la revelación de información confidencial.

El monto de la retribución dependerá del grupo al que se pueda asignar el fallo o error. El monto mínimo de la gratificación es de 50USDT.

¿En qué caso no se pagará ninguna gratificación?

  • La notificación de dicha vulnerabilidad se repite.
  • La confirmación de un error o fallo implica el acceso al PC o al software del usuario.
  • El fallo detectado requiere una medida no estándar e implica mucho tiempo.
  • Las vulnerabilidades requieren el jailbreaking o una modificación de dispositivos y aplicaciones.
  • Las vulnerabilidades funcionan en las versiones más antiguas de los navegadores.

Reglas generales de Bug Bounty

  • En el informe de vulnerabilidad o de errores se revisa en un plazo de dos semanas.
  • El informe de error o vulnerabilidad debe incluir una descripción detallada del problema y los pasos a seguir para reproducirlo, o una prueba práctica de concepto.
  • No debe utilizar herramientas automatizadas o escáneres para detectar vulnerabilidades: tales informes serán ignorados.
  • No debe realizar ninguna acción que pueda dañar nuestro servicio o datos, incluidos los datos de los clientes. Se prohíbe el DDoS, el spam, la ingeniería social y los ataques de fuerza bruta.
  • Está prohibido involucrar a otros usuarios, para identificar una vulnerabilidad, sin el consentimiento de los mismos.