Bienvenido a nuestro Security Bug Bounty
En DailyBot, nos tomamos muy en serio la privacidad y la seguridad. Por ello, animamos a todos a participar en nuestro programa abierto de recompensas por errores, que incentiva tanto a los investigadores como a los piratas informáticos a encontrar, revelar y resolver de manera responsable las vulnerabilidades de seguridad. Como ocurre con muchas recompensas por errores que existen, DailyBot cuenta con un conjunto de reglas bastante claras y sencillas que nos ayudan a protegernos tanto a nosotros como a quienes quieren divulgarlas. Gracias por participar y ¡feliz cacería de bichos!
Cómo abordamos los problemas de seguridad
- DailyBot no emprenderá acciones legales contra los usuarios por revelar vulnerabilidades como se indica aquí.
- Los informes de vulnerabilidad siempre se responderán lo más rápido posible, normalmente en un plazo de 24 horas.
- Te proporcionaremos un resumen completo de las medidas que hemos tomado para resolver cualquier problema que hayas denunciado.
- En función de la validez, la gravedad y el alcance de cada problema, te recompensaremos con cosas increíbles (o simplemente dinero en efectivo, si lo prefieres).
Reglas del programa
- Úsalo y pruébalo únicamente en cuentas y servidores de tu propiedad directa. Las pruebas nunca deberían afectar a otros usuarios.
- Las pruebas deben limitarse a los sitios y servicios que DailyBot opera directamente. No aceptaremos informes de servicios o proveedores de terceros que se integren con DailyBot a través de nuestras API.
- No realices ninguna acción que pueda dañar la fiabilidad o la integridad de nuestros servicios y datos. Algunos ejemplos de actividades dañinas que no están permitidas en virtud de esta recompensa son: la fuerza bruta, la denegación de servicio (DoS), el envío de spam, los ataques cronometrados, etc.
- No utilice escáneres ni herramientas automatizadas para encontrar vulnerabilidades.
- No intentes probar los límites de velocidad de la API ni realizar una gran cantidad de solicitudes en un período corto de tiempo.
- No se debe divulgar ni compartir públicamente la información sobre los problemas encontrados hasta que hayamos completado nuestra investigación y resolución. Tras la confirmación, puedes documentar y publicar cualquier información sobre los problemas que encuentres.
Vulnerabilidades fuera de alcance
Al informar sobre las vulnerabilidades, tenga en cuenta (1) el escenario de ataque o la explotabilidad y (2) el impacto del error en la seguridad. Por lo general, se considera que los siguientes problemas están fuera de alcance (no se trata de una lista exhaustiva):
- Enumeración de cuentas o correos electrónicos
- Ataques que requieren MITM o acceso físico al dispositivo de un usuario
- Ataques de fuerza bruta
- Límites de velocidad de API
- Hackeo de clics
- Suplantación de contenido e inyección de texto
- Vulnerabilidades del CSRF
- Ataques de denegación de servicio
- Registros SPF, DKIM y DMARC de correo electrónico
- Invitar a enumeración
- Faltan indicadores de cookies de HTTOnly/Secure
- Cabeceras CORS abiertas
- Paneles de inicio de sesión de acceso público
- Informes de escáneres y herramientas automatizadas
- Informes de los subdominios app.dailybot.com, api.dailybot.co y api.dailybot.com
- Autoexplotación (como la reutilización de tokens y la creación de scripts de consola)
- Ataques de ingeniería social o suplantación de identidad dirigidos a usuarios o empleados
- Vulnerabilidades relacionadas con otros sistemas (por ejemplo, help.dailybot.com) que es una aplicación de Zendesk
