Security

Programa Bug Bounty

Encontre bugs, seja recompensado.

Ajude-nos a melhorar a nossa seguranca e ganhe recompensas. Convidamos investigadores de seguranca a testar os nossos sistemas de forma responsavel. Se encontrar uma vulnerabilidade, pagamos-lhe por reporta-la.

Reportar uma vulnerabilidade
Regras

Regras basicas

  • 1Teste com cuidado: nao perturbe os nossos servicos nem use ferramentas de analise automatizada.
  • 2Use apenas a sua propria conta de teste. Nunca tente aceder a contas de outros utilizadores.
  • 3Notifique-nos imediatamente se obtiver acesso a sistemas internos.
  • 4Mantenha quaisquer descobertas confidenciais ate resolvermos o problema.
  • 5Apenas a primeira pessoa a reportar uma vulnerabilidade especifica recebe a recompensa.
Ambito

O que procuramos

Recompensamos descobertas que representem riscos de seguranca reais. Recompensas maiores vao para problemas mais criticos:

Acesso nao autorizado a dados de outros utilizadores (simplesmente confirmar que uma conta existe nao se qualifica).
Contornar controlos de seguranca da API (ex. evasao de limites de taxa, contorno de autenticacao).
Vulnerabilidades de cross-site scripting (XSS).
Execucao remota de codigo nos nossos servidores.
Injecao SQL ou outros ataques de injecao.
Falhas de autenticacao ou gestao de sessao.

Apenas recompensamos vulnerabilidades de seguranca que possam prejudicar utilizadores ou os seus dados, nao bugs cosmeticos ou funcionalidades avariadas.

Exclusoes

O que nao pagamos

Ataques de negacao de servico (DoS/DDoS) ou tentativas de forca bruta.
Problemas de conteudo misto ou configuracao SSL.
Ataques de engenharia social ou phishing.
Vulnerabilidades teoricas sem prova de conceito funcional.
Cabecalhos de seguranca em falta ou configuracoes de endurecimento padrao (ex. politica de password, verificacao de email).
Vulnerabilidades em servicos de terceiros ou dependencias fora do nosso controlo.
Recompensas

Como pagamos

Quanto mais critica a vulnerabilidade, maior a recompensa. Nao ha um teto fixo. Se encontrar algo particularmente serio ou inteligente, compensamo-lo em conformidade. Os montantes das recompensas sao determinados com base no impacto potencial da vulnerabilidade.

Os pagamentos sao processados em USD via PayPal apos a vulnerabilidade ter sido verificada e resolvida. Aplicam-se as taxas padrao do PayPal.

Relatorio

Como reportar

01

Submeter

Preencha o formulario de relatorio de vulnerabilidade abaixo com uma descricao detalhada e prova de conceito.

02

Revisao

A nossa equipa de seguranca revisara o seu relatorio e respondera dentro de 7 dias uteis.

03

Resolucao

Trabalhamos numa correcao. Podemos contacta-lo para detalhes ou esclarecimentos adicionais.

04

Recompensa

Uma vez verificada e resolvida a vulnerabilidade, processamos a sua recompensa em USD via PayPal.

Relatorio

Reportar uma vulnerabilidade

Preencha o formulario abaixo com o maximo de detalhe possivel. Inclua passos para reproduzir, avaliacao de impacto e qualquer prova de conceito.