•

Requisitos de elegibilidade
Para ser elegível, você:
Deve concordar e cumprir as Regras do Programa e Termos Legais conforme estabelecido nesta política.
Deve ser o primeiro a relatar o problema para ser elegível a uma recompensa.
Deve estar disponível para fornecer informações adicionais, conforme necessário por nossa equipe, para reproduzir e triar o problema.
Você não é elegível se for:
Residente de, ou fizer seu Envio a partir de, um país contra o qual os Estados Unidos emitiram sanções de exportação ou outras restrições comerciais (por exemplo, Cuba, Irã, Coreia do Norte, Sudão e Síria).
Em violação de qualquer lei ou regulamento nacional, estadual ou local.
Empregado pela Yellow Card Financial.
Membro da família imediata de uma pessoa empregada pela Yellow Card.
Regras do programa
Não prejudique intencionalmente a experiência ou a utilidade do serviço para terceiros, incluindo a degradação de serviços e ataques de negação de serviço.
Não tente visualizar, modificar ou corromper dados pertencentes a terceiros.
Não divulgue a vulnerabilidade relatada a terceiros sem a nossa permissão explícita.
Não tente obter acesso à conta ou aos dados de outro cliente.
Não tente realizar ataques não técnicos, incluindo qualquer forma de engenharia social.
Alvos qualificados
Portal do Tesouro
Os testes limitam-se apenas à superfície não autenticada (por exemplo, página de login, fluxo de redefinição de senha, endpoints HTTP públicos e configuração de TLS/cabeçalho). Os investigadores devem interromper imediatamente os testes e reportar caso obtenham ou se deparem com dados de contas comerciais ou de sessões autenticadas.
O que nos interessa
Grandes exposições relacionadas com fugas de dados de clientes
Problemas que resultem/levem ao comprometimento total de um sistema
Contorno de lógica de negócios que resulte/leve a um impacto financeiro ou reputacional significativo
Contorno de controlos de autenticação e autorização
Falha operacional grave (excluindo submissões relacionadas com Negação de Serviço)
Exclusões
As seguintes vulnerabilidades não são qualificáveis para recompensas:
Problemas já conhecidos por nós ou anteriormente relatados a nós por terceiros
Problemas que determinamos ser de risco aceitável
Relatórios resultantes de varredura automatizada
Ataques dependentes de engenharia social de funcionários, fornecedores ou clientes
Ataques de Negação de Serviço a nível de rede
Ataques de negação de carteira (Denial of wallet)
Negação de Serviço de aplicação ao bloquear contas de usuários
Ataques de força bruta em nossas páginas de cadastro, login ou recuperação de senha
Políticas de aplicação para força bruta, limitação de taxa ou bloqueio de conta
Ausência de cabeçalhos de segurança HTTP
Problemas com cookies
Problemas relacionados a SSL
Ataques SSL como BEAST, BREACH, ataque de renegociação.
Clickjacking, sem detalhes adicionais que demonstrem uma exploração específica.
Problemas de configuração de e-mail, incluindo configurações SPF, DKIM, DMARC.
Uso de biblioteca conhecida como vulnerável
Vulnerabilidades em aplicativos de terceiros que não afetam diretamente nossos dados ou serviços
Vulnerabilidades causadas principalmente por defeitos de navegadores/plugins e que não representem falhas na segurança da plataforma da Yellow Card Financial
Navegadores e plugins desatualizados
Mensagens de erro ou cabeçalhos descritivos (ex: Stack Traces, banner grabbing)
Divulgação de arquivos ou diretórios públicos conhecidos (ex: robots.txt)
Cookies que carecem de configurações HTTP Only ou Secure para dados não confidenciais
Envios que contenham problemas relacionados com a lista de exclusões acima não serão qualificados para recompensa.
Relato de vulnerabilidades
Assim que o seu relatório estiver pronto, envie-o por e-mail para bugbounty@yellowcard.io
Reprodutibilidade
Certifique-se de que o seu relatório esteja escrito de forma clara e inclua todas as informações necessárias para que possamos triar e reproduzir a falha rapidamente.
Por favor, inclua:
Seu nome e dados de contato
Data e hora da descoberta
URL, onde aplicável
Tipo e descrição da vulnerabilidade
Instruções passo a passo para reproduzir o problema, incluindo qualquer prova de conceito ou código de exploração para reproduzir
Capturas de tela e/ou vídeos ilustrando a vulnerabilidade
Os relatórios legítimos serão confirmados com uma resposta por e-mail. Faremos todos os esforços para avaliar rapidamente cada relatório para determinar o risco geral e corrigir a causa raiz onde for considerado necessário.
Recompensas
As nossas recompensas são flexíveis, sem montantes mínimos ou máximos definidos, e baseiam-se em última análise na gravidade da vulnerabilidade identificada, classificada da seguinte forma:
Nível 0 | Informação |
Nível 1 | Baixo |
Nível 2 | Médio |
Nível 3 | Alto |
Nível 4 | Crítico |
Tenha em atenção:
Apenas será atribuída uma recompensa por vulnerabilidade (incluindo para vulnerabilidades encadeadas)
Caso existam múltiplos relatórios para a mesma vulnerabilidade, apenas a pessoa que apresentar o primeiro relatório claro que nos permita reproduzir a vulnerabilidade receberá uma recompensa.
Caso as diretrizes do programa tenham sido ignoradas, a Yellow Card reserva-se o direito de recusar os pedidos de recompensa dos participantes sem ter de fornecer informações adicionais.
Confidencialidade
Qualquer informação que receber ou recolher através do Programa de Bug Bounty deve ser mantida confidencial e utilizada apenas em ligação com o Programa de Bug Bounty.
Não pode utilizar, divulgar ou distribuir qualquer uma dessas Informações Confidenciais, incluindo, mas não se limitando a, qualquer informação relativa ao seu Envio e informações que obtenha ao pesquisar qualquer uma das aplicações de negócio da Yellow Card, esteja ela dentro ou fora do âmbito do programa, sem o consentimento prévio por escrito da Yellow Card.
Safe Harbour (Porto Seguro)
A Yellow Card Financial apoia a investigação de segurança de boa-fé. Se conduzir a sua investigação de segurança em conformidade com esta política, não iniciaremos qualquer ação legal contra si. Este porto seguro não se aplica a atividades conduzidas fora do âmbito definido, ou a investigadores que violem qualquer uma das Regras do Programa.
Violação dos Termos
Ao participar no programa de bug bounty da Yellow Card Financial, está a concordar com esta política.
A Yellow Card Financial tem o direito de intentar uma ação legal contra a pessoa que violou as regras. Essa pessoa será também banida de qualquer participação futura no programa de bug bounty da Yellow Card.

