Bem-vindo ao nosso Security Bug Bounty
No DailyBot, levamos a privacidade e a segurança muito a sério. Dessa forma, encorajamos todos a participarem de nosso programa aberto de recompensas por bugs, que incentiva pesquisadores e hackers a encontrar, divulgar e nos ajudar a resolver vulnerabilidades de segurança com responsabilidade. Como acontece com muitas recompensas por bugs, o DailyBot tem um conjunto de regras bastante simples e direto que ajudam a proteger tanto a nós quanto aqueles que desejam divulgar. Obrigado por participar e feliz caça aos insetos!
Como abordamos os problemas de segurança
- O DailyBot não tomará medidas legais contra usuários por divulgar vulnerabilidades conforme instruído aqui.
- Os relatórios de vulnerabilidade sempre serão respondidos o mais rápido possível, geralmente em 24 horas.
- Forneceremos um resumo completo das etapas que tomamos para resolver os problemas que você relatou.
- Com base na validade, gravidade e escopo de cada problema, recompensaremos você com coisas incríveis (ou apenas dinheiro vivo, se preferir).
Regras do programa
- Use e teste somente em contas e servidores que você possui diretamente. Os testes nunca devem afetar outros usuários.
- Os testes devem ser limitados aos sites e serviços que o DailyBot opera diretamente. Não aceitaremos relatórios de serviços ou provedores de terceiros que se integrem ao DailyBot por meio de nossas APIs.
- Não realize nenhuma ação que possa prejudicar a confiabilidade ou a integridade de nossos serviços e dados. Alguns exemplos de atividades nocivas que não são permitidas sob essa recompensa incluem: força bruta, negação de serviço (DoS), spam, ataques temporizados etc.
- Não use scanners ou ferramentas automatizadas para encontrar vulnerabilidades.
- Não tente testar os limites de taxa da API nem fazer uma grande quantidade de solicitações em um curto período de tempo.
- Nenhuma informação sobre os problemas encontrados deve ser divulgada ou compartilhada publicamente até concluirmos nossa investigação e resolução. Após a confirmação, você está livre para documentar e publicar qualquer informação sobre os problemas encontrados.
Vulnerabilidades fora do escopo
Ao relatar vulnerabilidades, considere (1) o cenário de ataque/explorabilidade e (2) o impacto do bug na segurança. Os seguintes problemas geralmente são considerados fora do escopo (não são uma lista exaustiva):
- Enumeração de conta/e-mail
- Ataques que exigem MITM ou acesso físico ao dispositivo de um usuário
- Ataques de força bruta
- Limites de taxa de API
- Clickjacking
- Falsificação de conteúdo e injeção de texto
- Vulnerabilidades do CSRF
- Ataques de negação de serviço
- Registros SPF, DKIM e DMARC de e-mail
- Enumeração de convites
- Sinalizadores de cookies HTTPOnly/Secure ausentes
- Abra os cabeçalhos CORS
- Painéis de login acessíveis ao público
- Relatórios de scanners e ferramentas automatizadas
- Relatórios dos subdomínios app.dailybot.com, api.dailybot.co e api.dailybot.com
- Autoexploração (como reutilização de tokens e criação de scripts de console)
- Ataques de engenharia social ou phishing direcionados a usuários ou funcionários
- Vulnerabilidades relacionadas a outros sistemas (por exemplo, help.dailybot.com), que é um aplicativo da Zendesk
