ASSINAR
TILDA

Programa Tilda de recompensa por bugs

Programa de recompensa por vulnerabilidade técnica da Tilda
~
Premiamos os pesquisadores de segurança que conseguem descobrir vulnerabilidades no Tilda e nos módulos e microsserviços relacionados. Para qualquer dúvida que não esteja relacionada a este programa, envie um e-mail para nossa equipe de suporte em team@tilda.cc
Se descobrir um bug, envie um e-mail para nossa equipe de suporte técnico em tech@tilda.cc Em seu e-mail, faça uma descrição detalhada do bug e forneça as seguintes informações:

  • o serviço ou módulo no qual a vulnerabilidade foi descoberta;
  • tipo de vulnerabilidade;
  • a ameaça que ele representa;
  • como ele pode ser reproduzido;
  • suas sugestões sobre como isso pode ser corrigido.
Vulnerabilidades não qualificadas
  • Relatórios de scanners de segurança e outros sistemas automatizados sem uma demonstração clara da vulnerabilidade real;
  • Relatórios sobre a divulgação de informações não confidenciais, como a versão do produto;
  • E-mails sobre vulnerabilidade com base em versões de produtos/protocolos, sem uma demonstração clara da vulnerabilidade real;
  • Mensagens sobre a ausência de um mecanismo de proteção sem a indicação de consequências negativas reais;
  • Quaisquer dados obtidos com o uso de engenharia social;
  • SelfXSS.
Recompensas
  • O valor mínimo da recompensa é de US$ 50;
  • O valor do pagamento depende da gravidade da vulnerabilidade descoberta: quanto mais grave for o erro encontrado, maior será a recompensa;
  • Cada caso é considerado separadamente, mas, em geral, o valor do pagamento depende dos pagamentos por vulnerabilidades semelhantes no HackerOne.
Regras de engajamento
  • A recompensa pela vulnerabilidade é paga apenas ao primeiro pesquisador que relatou a vulnerabilidade;
  • Nenhum pagamento será feito se você usar as vulnerabilidades descobertas contra os usuários do Tilda;
  • Somente indivíduos que tenham completado 18 anos de idade podem participar do programa;
  • É proibido divulgar ou publicar informações sobre um bug descoberto dentro de 90 dias após a comunicação;
  • É proibido publicar um código que contenha ou descreva a vulnerabilidade de recursos disponíveis publicamente.
Fabricado em
Tilda