Gerenciar cookies
Utilizamos cookies para oferecer a você uma melhor experiência de usuário e avaliar o desempenho de nossa publicidade. Para mais detalhes, consulte a Cookie Policy.
Configurações de cookies
Os cookies necessários para o funcionamento correto do site estão sempre ativados.
Outros cookies podem ser configurados.
Cookies essenciais
Sempre ativado
Sempre ativos. Esses cookies são essenciais para que você possa utilizar o site e suas funcionalidades. Eles não podem ser desativados. São definidos em resposta a solicitações feitas por você, como definir suas preferências de privacidade, fazer login ou preencher formulários.
Cookies de análise
Desativado
Esses cookies coletam informações para nos ajudar a entender como nossos sites são utilizados, qual é a eficácia de nossas campanhas de marketing e como podemos personalizar nossos sites para você. Veja aqui a lista dos cookies de análise que utilizamos.
Cookies de publicidade
Desativado
Esses cookies fornecem às empresas de publicidade informações sobre sua atividade online para ajudá-las a exibir anúncios online mais relevantes para você ou a limitar o número de vezes que você vê um anúncio. Essas informações podem ser compartilhadas com outras empresas de publicidade.
Cookies funcionais
Desativado
Esses cookies salvam as configurações dos visitantes do site, dos usuários e de seus representantes, a fim de acompanhar o desempenho da campanha promocional.
Tudo bem
ASSINAR
TILDA PUBLISHING

Programa Tilda de recompensa por bugs

~
1. Visão geral
Trabalhamos ativamente com pesquisadores de segurança e oferecemos recompensas pela descoberta de vulnerabilidades na plataforma Tilda, incluindo suas ferramentas integradas e serviços relacionados.

Abaixo, você encontrará o regulamento completo do programa e instruções sobre como relatar uma vulnerabilidade.
2. Informações gerais: Âmbito do programa
2.1. Âmbito de aplicação
Este programa abrange vulnerabilidades em serviços, ferramentas e aplicativos web de propriedade da Tilda.
Os testes de segurança são permitidos, desde que sejam realizados:
  • Utilizando apenas suas próprias contas Tilda.
  • Dentro das funcionalidades disponíveis no plano de tarifas correspondente.
  • Sem interromper os sistemas de produção.
Para testar funcionalidades avançadas, você pode usar uma conta com um período de avaliação de 14 dias do Plano Pessoal ativo.
2.2. Fora do escopo
Sites de propriedade dos usuários, bem como vulnerabilidades em serviços e integrações de terceiros — tais como provedores de pagamento, serviços de entrega, serviços de coleta de dados etc. — estão fora do escopo, mesmo que estejam conectados à Tilda.
Pode haver uma exceção quando a vulnerabilidade estiver do lado da Tilda — por exemplo, transferência incorreta de dados, vazamento de informações confidenciais em solicitações, falhas na lógica de integração etc.
As seguintes categorias de relatórios também estão fora do escopo:
  • Self-XSS e qualquer vulnerabilidade XSS no editor.
  • Ataques DoS/DDoS.
  • Ataques de força bruta sem indícios de que tenham contornado os mecanismos de proteção.
  • Injeção de CSV.
  • Falhas na política de senhas sem a possibilidade de contornar a autenticação.
  • CSRF que afeta ações de baixo impacto, como o logout.
  • Clickjacking sem impacto comprovado na segurança.
  • Controles de segurança ausentes ou cabeçalhos sem impacto prático comprovado.
  • Configurações incorretas de SSL/TLS.
  • Resultados de digitalização automatizada sem uma prova de conceito reproduzível.
  • Divulgação de informações não confidenciais, como números de versão de software.
  • Vulnerabilidades decorrentes exclusivamente do uso de versões desatualizadas de software.
  • Engenharia social.
  • Relatórios que não demonstram um impacto real na segurança.
3. Categorias de vulnerabilidade prioritárias
Damos a máxima prioridade às vulnerabilidades que afetam a confidencialidade, a integridade ou a disponibilidade dos dados, incluindo:
  • Execução de código no lado do servidor.
  • Injeção de SQL.
  • Contornamento da autenticação/autorização.
  • Falha no controle de acesso.
  • Falsificação de solicitação no lado do servidor direcionada a serviços internos.
  • Cross-Site Scripting com impacto sobre outros usuários.
  • Falsificação de solicitação entre sites afetando ações confidenciais.
  • Envio de arquivos sem restrições.
  • Divulgação de informações confidenciais.
  • Falhas críticas na lógica de negócios que levam ao acesso não autorizado ou à escalada de privilégios.
4. Regras e restrições do programa
No âmbito deste programa, você não deve:
  • Realizar ações que possam perturbar o funcionamento da plataforma ou afetar negativamente os usuários da plataforma ou outros terceiros.
  • Obter acesso não autorizado a contas de usuário.
  • Realizar exploração automatizada em massa.
  • Use engenharia social.
  • Vá além do nível mínimo de exploração necessário para confirmar a vulnerabilidade.
  • Não publique uma prova de conceito antes que a vulnerabilidade tenha sido corrigida e você tenha recebido autorização da equipe de segurança da Tilda.
  • Divulgar publicamente detalhes sobre vulnerabilidades sem a aprovação prévia da Tilda.
  • Divulgue todos os dados pessoais obtidos durante sua pesquisa.
5. Como enviar um relatório de vulnerabilidade
Se você encontrou uma vulnerabilidade, envie-nos um e-mail para: bugbounty@tilda.cc
Assunto do e-mail: Relatório do Programa de Recompensa por Bugs do
– [Breve descrição da vulnerabilidade]
Seu relatório deve incluir:
  • O serviço ou ferramenta afetado.
  • O tipo de vulnerabilidade.
  • Uma descrição do impacto potencial.
  • Instruções passo a passo para a reprodução.
  • Uma prova de conceito, se for o caso.
  • Recomendações de correção, se houver.
Relatórios sem etapas reproduzíveis podem ser rejeitados.
O tempo médio de resposta inicial é de 1 dia útil.
6. Classificação de vulnerabilidades e recompensas
A classificação e a gravidade das vulnerabilidades são determinadas com base na Taxonomia de Classificação de Vulnerabilidades (VRT) da Bugcrowd.
A avaliação final também leva em consideração:
  • O impacto real sobre a confidencialidade, integridade e disponibilidade dos dados.
  • O cenário realista de exploração.
  • A complexidade e a reprodutibilidade do ataque.
  • A magnitude do impacto potencial.
  • A existência de fatores atenuantes ou limitações.
As recompensas são baseadas na classificação atribuída e variam de US$ 25 a US$ 3.000, em linha com os pagamentos oferecidos pelas principais plataformas de Bug Bounty, como HackerOne e Bugcrowd.
As recompensas são pagas apenas pelo primeiro relato correto e válido de uma vulnerabilidade específica.
A decisão final sobre a classificação da vulnerabilidade e o valor da recompensa é tomada pela equipe de segurança da Tilda com base nos critérios estabelecidos.
7. Informações de contato
Relatórios de vulnerabilidades:
bugbounty@tilda.cc
Informações gerais:
team@tilda.cc
Termos de Serviço
Feito em
Tilda