Guías

Guías

Programa de bug bounty de Yellow Card

Programa de bug bounty de Yellow Card
Programa de bug bounty de Yellow Card

Yellow Card

Yellow Card

Requisitos de elegibilidad

Para ser elegible, usted:

  • Debe aceptar y adherirse a las Reglas del Programa y a los términos legales establecidos en esta política.

  • Debe ser el primero en informar sobre el problema para poder optar a una recompensa.

  • Debe estar disponible para proporcionar información adicional, según lo requiera nuestro equipo, para reproducir y clasificar el problema.

No será elegible si es:

  • Residente de, o realiza su envío desde, un país contra el cual los Estados Unidos han emitido sanciones de exportación u otras restricciones comerciales (por ejemplo, Cuba, Irán, Corea del Norte, Sudán y Siria).

  • Infractor de cualquier ley o reglamento nacional, estatal o local.

  • Empleado de Yellow Card Financial.

  • Un familiar directo de una persona empleada por Yellow Card.

Reglas del programa

  • No dañe intencionadamente la experiencia o la utilidad del servicio para otros, incluyendo la degradación de los servicios y los ataques de denegación de servicio.

  • No intente ver, modificar ni dañar los datos que pertenezcan a otros.

  • No divulgue la vulnerabilidad reportada a otros sin nuestro permiso explícito.

  • No intente obtener acceso a la cuenta o a los datos de otro cliente.

  • No intente realizar ataques no técnicos, incluida cualquier forma de ingeniería social.

Cuando se utilicen métodos que no cumplan con la legislación local y/o con las reglas del programa mencionadas anteriormente, se notificará a las autoridades competentes.

Cuando se utilicen métodos que no cumplan con la legislación local y/o con las reglas del programa mencionadas anteriormente, se notificará a las autoridades competentes.

Objetivos elegibles

Portal de tesorería

Las pruebas se limitan únicamente a la superficie sin autenticar (por ejemplo, página de inicio de sesión, flujo de restablecimiento de contraseña, extremos HTTP públicos y configuración de TLS/encabezados). Los investigadores deben detenerse de inmediato e informar si obtienen o se topan con alguna sesión autenticada o datos de cuentas comerciales.

Lo que nos interesa

  • Exposiciones importantes en relación con la filtración de datos de clientes

  • Problemas que resulten en/conduzcan al compromiso total de un sistema 

  • Elusión de la lógica de negocio que resulte en/conduzca a un impacto financiero o reputacional significativo

  • Elusión de los controles de autenticación y autorización
    Fallo operativo grave (excluyendo los envíos relacionados con la denegación de servicio)

Exclusiones

Las siguientes vulnerabilidades no son elegibles para una recompensa:

  • Problemas ya conocidos por nosotros o informados anteriormente por otros

  • Problemas que hemos determinado que representan un riesgo aceptable

  • Informes que resulten de escaneos automáticos

  • Ataques que dependan de la ingeniería social de empleados, proveedores o clientes

  • Ataques de Denegación de Servicio a nivel de red

  • Ataques de denegación de billetera (Denial of wallet)

  • Denegación de Servicio de la aplicación mediante el bloqueo de cuentas de usuario

  • Ataques de fuerza bruta en nuestras páginas de registro, inicio de sesión o recuperación de contraseña

  • Políticas de aplicación para fuerza bruta, limitación de velocidad o bloqueo de cuentas

  • Ausencia de cabeceras de seguridad HTTP

  • Problemas con las cookies

  • Problemas relacionados con SSL

  • Ataques SSL como BEAST, BREACH, ataque de renegociación.

  • Clickjacking, sin detalles adicionales que demuestren una explotación específica.

  • Problemas de configuración de correo, incluidos los ajustes de SPF, DKIM, DMARC.

  • Uso de una biblioteca con vulnerabilidades conocidas

  • Vulnerabilidades en aplicaciones de terceros que no afecten directamente a nuestros datos o servicios

  • Vulnerabilidades causadas principalmente por defectos del navegador/complemento (plugin) y que no representan defectos en la seguridad de la plataforma de Yellow Card Financial

  • Navegadores y complementos (plugins) desactualizados

  • Mensajes de error descriptivos o cabeceras (por ejemplo, Stack Traces, banner grabbing)

  • Divulgación de archivos o directorios públicos conocidos (por ejemplo, robots.txt)

  • Cookies que carecen de la configuración HTTP Only o Secure para datos no sensibles 

Los envíos que contengan problemas relacionados con la lista de exclusiones anterior no serán elegibles para recompensa.

Notificación de vulnerabilidades

Una vez que su informe esté listo, envíelo por correo electrónico a bugbounty@yellowcard.io

Reproducibilidad

Asegúrese de que su informe esté escrito claramente e incluya toda la información necesaria para que podamos clasificar y reproducir el fallo rápidamente.

Por favor incluya:

  • Su nombre y datos de contacto

  • Fecha y hora del descubrimiento

  • URL, donde corresponda

  • Tipo y descripción de la vulnerabilidad

  • Instrucciones detalladas paso a paso para reproducir el problema, incluyendo cualquier prueba de concepto o código de explotación para reproducirlo

  • Capturas de pantalla y/o videos que ilustren la vulnerabilidad

Los informes legítimos serán confirmados con una respuesta por correo electrónico. Haremos todo lo posible para evaluar rápidamente cada informe para determinar el riesgo general y abordar la causa raíz cuando se considere necesario.

Recompensas

Nuestras recompensas son flexibles, sin montos mínimos o máximos establecidos y se basan en última instancia en la gravedad de la vulnerabilidad identificada, clasificada de la siguiente manera:

Nivel 0

Información

Nivel 1

Baja

Nivel 2

Media

Nivel 3

Alta

Nivel 4

Crítica


Tenga en cuenta:

  • Solo se otorgará una recompensa por vulnerabilidad (incluyendo vulnerabilidades encadenadas)

  • En caso de que existan múltiples informes para la misma vulnerabilidad, solo la persona que ofrezca el primer informe claro que nos permita reproducir la vulnerabilidad recibirá una recompensa. 

  • En caso de que se hayan ignorado las pautas del programa, Yellow Card se reserva el derecho de rechazar las solicitudes de recompensa de los participantes sin tener que proporcionar información adicional. 

Confidencialidad

Cualquier información que reciba o recopile a través del Programa de Bug Bounty debe mantenerse confidencial y solo utilizarse en relación con el Programa de Bug Bounty.

No puede usar, divulgar ni distribuir dicha Información Confidencial, lo que incluye, entre otros, cualquier información sobre su Envío y la información que obtenga al investigar cualquiera de las aplicaciones comerciales de Yellow Card, ya sea dentro o fuera del alcance del programa, sin el consentimiento previo por escrito de Yellow Card.


Puerto Seguro

Yellow Card Financial apoya la investigación de seguridad de buena fe. Si realiza investigaciones de seguridad de acuerdo con esta política, no iniciaremos acciones legales contra usted. Este puerto seguro no se aplica a las actividades realizadas fuera del alcance definido, ni a los investigadores que violen cualquiera de las Reglas del Programa.


Violación de los Términos

Al participar en el programa de bug bounty de Yellow Card Financial, usted acepta esta política.

Yellow Card Financial tiene derecho a emprender acciones legales contra la persona que haya violado las reglas. Esa persona también será excluida de toda participación futura en el programa de bug bounty de Yellow Card.

Nuestro boletín trimestral

Suscríbete a nuestro boletín trimestral

¿No estás suscrito aún? Regístrate para mantenerte informado sobre las últimas actualizaciones sobre Stablecoins y otros activos digitales, donde quiera que estés.

Nuestro boletín trimestral

Suscríbete a nuestro boletín trimestral

¿No estás suscrito aún? Regístrate para mantenerte informado sobre las últimas actualizaciones sobre Stablecoins y otros activos digitales, donde quiera que estés.

Nuestro boletín trimestral

Suscríbete a nuestro boletín trimestral

¿No estás suscrito aún? Regístrate para mantenerte informado sobre las últimas actualizaciones sobre Stablecoins y otros activos digitales, donde quiera que estés.