Guias

Guias

Programa de bug bounty do Yellow Card

Programa de bug bounty do Yellow Card
Programa de bug bounty do Yellow Card

Yellow Card

Yellow Card

Requisitos de elegibilidade

Para ser elegível, você:

  • Deve concordar e cumprir as Regras do Programa e Termos Legais conforme estabelecido nesta política.

  • Deve ser o primeiro a relatar o problema para ser elegível a uma recompensa.

  • Deve estar disponível para fornecer informações adicionais, conforme necessário por nossa equipe, para reproduzir e triar o problema.

Você não é elegível se for:

  • Residente de, ou fizer seu Envio a partir de, um país contra o qual os Estados Unidos emitiram sanções de exportação ou outras restrições comerciais (por exemplo, Cuba, Irã, Coreia do Norte, Sudão e Síria).

  • Em violação de qualquer lei ou regulamento nacional, estadual ou local.

  • Empregado pela Yellow Card Financial.

  • Membro da família imediata de uma pessoa empregada pela Yellow Card.

Regras do programa

  • Não prejudique intencionalmente a experiência ou a utilidade do serviço para terceiros, incluindo a degradação de serviços e ataques de negação de serviço.

  • Não tente visualizar, modificar ou corromper dados pertencentes a terceiros.

  • Não divulgue a vulnerabilidade relatada a terceiros sem a nossa permissão explícita.

  • Não tente obter acesso à conta ou aos dados de outro cliente.

  • Não tente realizar ataques não técnicos, incluindo qualquer forma de engenharia social.

Quando forem utilizados métodos que não estejam em conformidade com as leis locais e/ou as regras do programa acima mencionadas, as autoridades de fiscalização serão notificadas.

Quando forem utilizados métodos que não estejam em conformidade com as leis locais e/ou as regras do programa acima mencionadas, as autoridades de fiscalização serão notificadas.

Alvos qualificados

Portal do Tesouro

Os testes limitam-se apenas à superfície não autenticada (por exemplo, página de login, fluxo de redefinição de senha, endpoints HTTP públicos e configuração de TLS/cabeçalho). Os investigadores devem interromper imediatamente os testes e reportar caso obtenham ou se deparem com dados de contas comerciais ou de sessões autenticadas.

O que nos interessa

  • Grandes exposições relacionadas com fugas de dados de clientes

  • Problemas que resultem/levem ao comprometimento total de um sistema 

  • Contorno de lógica de negócios que resulte/leve a um impacto financeiro ou reputacional significativo

  • Contorno de controlos de autenticação e autorização
    Falha operacional grave (excluindo submissões relacionadas com Negação de Serviço)

Exclusões

As seguintes vulnerabilidades não são qualificáveis para recompensas:

  • Problemas já conhecidos por nós ou anteriormente relatados a nós por terceiros

  • Problemas que determinamos ser de risco aceitável

  • Relatórios resultantes de varredura automatizada

  • Ataques dependentes de engenharia social de funcionários, fornecedores ou clientes

  • Ataques de Negação de Serviço a nível de rede

  • Ataques de negação de carteira (Denial of wallet)

  • Negação de Serviço de aplicação ao bloquear contas de usuários

  • Ataques de força bruta em nossas páginas de cadastro, login ou recuperação de senha

  • Políticas de aplicação para força bruta, limitação de taxa ou bloqueio de conta

  • Ausência de cabeçalhos de segurança HTTP

  • Problemas com cookies

  • Problemas relacionados a SSL

  • Ataques SSL como BEAST, BREACH, ataque de renegociação.

  • Clickjacking, sem detalhes adicionais que demonstrem uma exploração específica.

  • Problemas de configuração de e-mail, incluindo configurações SPF, DKIM, DMARC.

  • Uso de biblioteca conhecida como vulnerável

  • Vulnerabilidades em aplicativos de terceiros que não afetam diretamente nossos dados ou serviços

  • Vulnerabilidades causadas principalmente por defeitos de navegadores/plugins e que não representem falhas na segurança da plataforma da Yellow Card Financial

  • Navegadores e plugins desatualizados

  • Mensagens de erro ou cabeçalhos descritivos (ex: Stack Traces, banner grabbing)

  • Divulgação de arquivos ou diretórios públicos conhecidos (ex: robots.txt)

  • Cookies que carecem de configurações HTTP Only ou Secure para dados não confidenciais 

Envios que contenham problemas relacionados com a lista de exclusões acima não serão qualificados para recompensa.

Relato de vulnerabilidades

Assim que o seu relatório estiver pronto, envie-o por e-mail para bugbounty@yellowcard.io

Reprodutibilidade

Certifique-se de que o seu relatório esteja escrito de forma clara e inclua todas as informações necessárias para que possamos triar e reproduzir a falha rapidamente.

Por favor, inclua:

  • Seu nome e dados de contato

  • Data e hora da descoberta

  • URL, onde aplicável

  • Tipo e descrição da vulnerabilidade

  • Instruções passo a passo para reproduzir o problema, incluindo qualquer prova de conceito ou código de exploração para reproduzir

  • Capturas de tela e/ou vídeos ilustrando a vulnerabilidade

Os relatórios legítimos serão confirmados com uma resposta por e-mail. Faremos todos os esforços para avaliar rapidamente cada relatório para determinar o risco geral e corrigir a causa raiz onde for considerado necessário.

Recompensas

As nossas recompensas são flexíveis, sem montantes mínimos ou máximos definidos, e baseiam-se em última análise na gravidade da vulnerabilidade identificada, classificada da seguinte forma:

Nível 0

Informação

Nível 1

Baixo

Nível 2

Médio

Nível 3

Alto

Nível 4

Crítico


Tenha em atenção:

  • Apenas será atribuída uma recompensa por vulnerabilidade (incluindo para vulnerabilidades encadeadas)

  • Caso existam múltiplos relatórios para a mesma vulnerabilidade, apenas a pessoa que apresentar o primeiro relatório claro que nos permita reproduzir a vulnerabilidade receberá uma recompensa. 

  • Caso as diretrizes do programa tenham sido ignoradas, a Yellow Card reserva-se o direito de recusar os pedidos de recompensa dos participantes sem ter de fornecer informações adicionais. 

Confidencialidade

Qualquer informação que receber ou recolher através do Programa de Bug Bounty deve ser mantida confidencial e utilizada apenas em ligação com o Programa de Bug Bounty.

Não pode utilizar, divulgar ou distribuir qualquer uma dessas Informações Confidenciais, incluindo, mas não se limitando a, qualquer informação relativa ao seu Envio e informações que obtenha ao pesquisar qualquer uma das aplicações de negócio da Yellow Card, esteja ela dentro ou fora do âmbito do programa, sem o consentimento prévio por escrito da Yellow Card.


Safe Harbour (Porto Seguro)

A Yellow Card Financial apoia a investigação de segurança de boa-fé. Se conduzir a sua investigação de segurança em conformidade com esta política, não iniciaremos qualquer ação legal contra si. Este porto seguro não se aplica a atividades conduzidas fora do âmbito definido, ou a investigadores que violem qualquer uma das Regras do Programa.


Violação dos Termos

Ao participar no programa de bug bounty da Yellow Card Financial, está a concordar com esta política.

A Yellow Card Financial tem o direito de intentar uma ação legal contra a pessoa que violou as regras. Essa pessoa será também banida de qualquer participação futura no programa de bug bounty da Yellow Card.

Nosso boletim trimestral

Inscreva-se na nossa newsletter trimestral

Ainda não se inscreveu? Cadastre-se para ficar informado sobre as últimas atualizações sobre Stablecoins e outros ativos digitais, onde quer que esteja.

Nosso boletim trimestral

Inscreva-se na nossa newsletter trimestral

Ainda não se inscreveu? Cadastre-se para ficar informado sobre as últimas atualizações sobre Stablecoins e outros ativos digitais, onde quer que esteja.

Nosso boletim trimestral

Inscreva-se na nossa newsletter trimestral

Ainda não se inscreveu? Cadastre-se para ficar informado sobre as últimas atualizações sobre Stablecoins e outros ativos digitais, onde quer que esteja.