Programa de Recompensa por Bugs

FlowHunt tem como objetivo manter seu serviço seguro para todos, e a segurança de dados é de suma importância. Se você é um pesquisador de segurança e descobriu uma vulnerabilidade no Serviço, agradecemos sua ajuda em nos informar de forma privada e nos dar a oportunidade de corrigir antes da publicação dos detalhes técnicos.

A FlowHunt irá interagir com pesquisadores de segurança quando vulnerabilidades forem reportadas conforme descrito aqui. Validaremos, responderemos e corrigiremos vulnerabilidades em apoio ao nosso compromisso com a segurança e privacidade. Não tomaremos medidas legais, nem suspenderemos ou cancelaremos o acesso ao Serviço para aqueles que descobrirem e reportarem vulnerabilidades de segurança de forma responsável. A FlowHunt reserva todos os seus direitos legais em caso de descumprimento.

Elegibilidade

Para ser elegível ao nosso programa de recompensa por bugs, você deve:

• Ter pelo menos 18 anos de idade
• Não ser funcionário, ex-funcionário, contratado ou familiar imediato da FlowHunt
• Não estar sujeito a sanções dos EUA ou residir em país embargado pelos EUA
• Cumprir todas as leis e regulamentos aplicáveis
• Seguir práticas de divulgação responsável

Como Reportar

Compartilhe os detalhes de quaisquer vulnerabilidades suspeitas com a Equipe de Segurança da FlowHunt em support@flowhunt.io . Por favor, não divulgue esses detalhes publicamente fora deste processo sem permissão explícita.

Requisitos de Qualidade do Relatório

Seu relatório de vulnerabilidade deve incluir:

• Resumo: Breve descrição da vulnerabilidade
• Impacto: Potencial impacto de segurança e risco ao negócio
• Passos para Reproduzir: Instruções detalhadas, passo a passo
• Prova de Conceito: Evidências demonstrando a vulnerabilidade
• Ativos Afetados: URLs, parâmetros ou componentes específicos
• Avaliação de Severidade: Sua avaliação do nível de gravidade
• Sugestões de Mitigação: Correções recomendadas (opcional)

Se quiser enviar vários relatórios ao mesmo tempo, envie apenas um (o mais importante, se possível) e aguarde uma resposta.

Prazo de Resposta

• Confirmação: Em até 5 dias úteis após o envio do relatório
• Avaliação Inicial: Em até 10 dias úteis
• Prazo de Resolução: Em até 90 dias para vulnerabilidades válidas
• Atualizações: Atualizações regulares de status durante todo o processo

Compensação

Ficamos felizes em oferecer uma recompensa por informações de vulnerabilidades que nos ajudem a proteger nossos clientes, como forma de agradecer aos pesquisadores de segurança que escolhem participar do nosso programa.

Classificação de Severidade

Severidade Crítica (US$100):

• Execução remota de código
• Injeção de SQL com acesso a dados
• Bypass de autenticação afetando múltiplos usuários
• Escalada de privilégio para nível de administrador
• Tomada total de conta

Severidade Média (US$50):

• Cross-site scripting (XSS) com impacto significativo
• Bypass de controle de acesso afetando dados limitados
• Directory traversal com acesso a arquivos
• Vulnerabilidades de gerenciamento de sessão
• Autenticação quebrada afetando usuários individuais

Baixa Severidade (Não elegível para pagamento):

• Divulgação menor de informações
• Self-XSS sem vetor de ataque realista
• Problemas de limitação de taxa
• Ausência de headers de segurança sem impacto explorável

Termos de Pagamento

• Recompensas são pagas exclusivamente via PayPal
• Caçadores de bugs devem gerar e enviar uma fatura PayPal
• Nenhum outro método de pagamento está disponível
• Processamento do pagamento em até 30 dias após o recebimento da fatura
• Todos os pagamentos estão sujeitos à legislação tributária aplicável

Recompensaremos apenas o primeiro relator de uma vulnerabilidade. Relatórios duplicados não serão recompensados.

Escopo

Dentro do Escopo

Você só pode testar em uma Conta FlowHunt da qual seja o Proprietário ou um Agente autorizado pelo Proprietário para realizar tais testes. Por exemplo: seudominio.flowhunt.io

Ativos Elegíveis:

• Domínios e subdomínios *.flowhunt.io
• Aplicações web e APIs da FlowHunt
• Aplicativos móveis da FlowHunt (se aplicável)

Tipos de Vulnerabilidade Elegíveis:

• Execução Remota de Comandos (RCE)
• Injeção de SQL
• Autenticação Quebrada
• Gerenciamento de Sessão Quebrado
• Bypass de Controle de Acesso
• Cross-Site Scripting (XSS)
• Redirecionamento Aberto de URL
• Directory Traversal
• Server-Side Request Forgery (SSRF)
• Falhas de Lógica de Negócio

Fora do Escopo

Atividades Proibidas:

• Ataques de engenharia social (phishing, vishing, etc.)
• Ataques físicos ou acesso físico às instalações da FlowHunt
• Ataques de negação de serviço (DoS) ou distribuídos (DDoS)
• Spam, comunicações em massa ou uso de ferramentas automáticas contra nossos sistemas
• Ataques em nível de rede ou varredura de infraestrutura
• Ataques que exijam acesso físico a dispositivos do usuário
• Ataques de força bruta ou quebra de senha
• Testes em contas que você não possui ou não tem permissão explícita para testar

Achados Não Elegíveis:

• Relatos em que o atacante só pode ameaçar sua própria conta
• XSS causado por Admin ou usuário privilegiado
• Vulnerabilidades que exigem interação improvável do usuário
• Questões que exigem instalação de software malicioso pelo usuário
• Vulnerabilidades teóricas sem caminho claro de exploração
• Falsificação de conteúdo sem impacto em segurança
• Ausência de limitação de taxa sem impacto demonstrável
• Questões que afetam apenas navegadores ou plataformas desatualizadas

Regras do Programa

Diretrizes de Teste

• Teste apenas em contas que você possua ou tenha permissão explícita para testar
• Não acesse, modifique ou exclua dados de outros usuários
• Não cause interrupção ou degradação dos nossos serviços
• Limite testes automáticos para evitar interrupção do serviço
• Não divulgue vulnerabilidades publicamente antes de serem corrigidas
• Esforce-se para evitar violações de privacidade e destruição de dados

Safe Harbor & Proteção Legal

A FlowHunt compromete-se a:

• Não tomar medidas legais contra pesquisadores que cumpram esta política
• Trabalhar em conjunto com pesquisadores para entender e validar questões de segurança
• Reconhecer contribuições válidas para a nossa segurança
• Manter a confidencialidade e não divulgar a identidade do pesquisador sem permissão

Pesquisadores devem:

• Cumprir todas as leis e regulamentos aplicáveis
• Acessar apenas os dados necessários para demonstrar a vulnerabilidade
• Reportar vulnerabilidades prontamente e de boa fé
• Não explorar vulnerabilidades além do necessário para a demonstração

Linha do Tempo de Divulgação

• Imediato: Relatório enviado para support@flowhunt.io
• 90 dias: Prazo padrão de divulgação após o relatório inicial
• Coordenado: Divulgação pública apenas após acordo mútuo
• Emergencial: Vulnerabilidades críticas podem ter prazos acelerados

Pesquisadores podem divulgar vulnerabilidades publicamente 90 dias após o relatório inicial, ou após a FlowHunt confirmar que o problema foi resolvido, o que ocorrer primeiro. Incentivamos a divulgação coordenada e trabalharemos com os pesquisadores no momento apropriado.