Última atualização em 26 de março de 2021
Estamos comprometidos a manter nossos sites e aplicativos seguros. Adoraríamos premiar vulnerabilidades divulgadas de forma responsável.
Vulnerabilidades de qualificação
Problemas de design ou implementação que podem afetar adversamente a confidencialidade e integridade de nossos dados de usuário, farão parte do escopo do programa. Algumas irregularidades comuns incluem:
- Scripts entre sites
- Falsificação de solicitação entre sites
- Scripts de conteúdo misto
- Falhas de autenticação ou autorização
- Bugs de execução de código do lado do servidor
Por preocupação com a disponibilidade de nossos serviços a todos os usuários, solicitamos que você não execute nenhuma tentativa de ataques DoS, aproveite as técnicas de black hat SEO, spam, autenticação de força bruta ou outras ações questionáveis semelhantes. Também desencorajamos o uso de quaisquer ferramentas de teste de vulnerabilidade que possam gerar automaticamente volumes muito significativos de tráfego da web.
Valor de recompensas monetárias para vulnerabilidades de segurança
As recompensas monetárias para bugs qualificados variam de créditos a US$ 2.000, dependendo da classe de bugs e do impacto nos negócios. Você pode encontrar o valor das vulnerabilidades de segurança na tabela abaixo:
| – | Impacto1 | |||
|---|---|---|---|---|
| – | Alto | Médio | Baixo | |
| Probabilidade 2 | Alta | $200 | $100 | |
| Médio | $100 | $50 | $10 | |
| Baixa | $50 | $10 | – |
1. A avaliação do impacto é baseada no potencial do ataque para causar violações de privacidade, perda financeira e outros danos ao usuário, bem como a base de usuários alcançada.
2. A avaliação da probabilidade leva em consideração o conjunto de habilidades técnicas necessárias para conduzir o ataque, os motivadores potenciais de tal ataque e a probabilidade da vulnerabilidade ser descoberta por um invasor.
Observe que o valor final da recompensa fica a critério do painel de recompensas com base na avaliação de probabilidade e impacto. A decisão será final e as disputas não serão consideradas.
Investigação e relatório de bugs
Ao investigar uma vulnerabilidade, use sua própria conta como alvo do ataque. Não tente acessar os dados de outra pessoa ou se envolver em atividades que possam perturbar ou causar danos aos outros usuários.
No caso em que a mesma vulnerabilidade está presente em vários produtos, junte os problemas e envie um relatório. Se você encontrou uma vulnerabilidade, entre em contato conosco em marketing.br@ahasave.com. Observe que só poderemos responder a relatórios de vulnerabilidade técnica.
Observe que apenas o primeiro relatório sobre uma vulnerabilidade específica será recompensado, os relatórios duplicados subsequentes sobre o mesmo problema não serão recompensados. Por favor, inclua etapas em texto simples para reproduzir a vulnerabilidade, completo com vídeo e/ou imagens.
Motivos de legalidade
O AhaSave não pode conceder recompensas a indivíduos que estejam em listas de sanções ou que estejam em países (por exemplo, Cuba, Irã, Coreia do Norte, Sudão e Síria) em listas de sanções. Você será responsável por quaisquer implicações fiscais, dependendo do seu país de residência e cidadania. Pode haver restrições adicionais impostas a você, dependendo da legislação local.
Este programa de recompensa não é uma competição. É um programa de recompensas experimental e discricionário que permitirá que nossa equipe trabalhe em vulnerabilidades que foram descobertas por entusiastas de tecnologia. Observe que AhaSave detém o critério final para cancelar o programa a qualquer momento e decisão de conceder a recompensa em dinheiro. Por último, o seu teste não deve violar nenhuma lei, ou interromper e/ou comprometer quaisquer dados que não sejam seus.
