Artigos sobre: Recompensa de Bug
Este artigo também está disponível em:

Encontrei um bug ou exploit

Programa de Recompensa de Bug Key-Drop



Key-Drop oferece um sistema de recompensa de bug onde usuários Key-Drop registrados e ativos podem reportar bugs, erros e exploits para serem recompensados. O principal objetivo é sempre melhorar e fornecer a melhor experiência para nossos usuários, e você pode nos ajudar a alcançar isso! Pedimos que sempre aja de forma responsável e pensando no interesse da Key-Drop e seus usuários.


Categorias de Problemas



RelevânciaExemplosPagamento máximo
CriticalRCE, SQLi, vertical auth bypass, unauthorized access to highly sensitive data5 000 USD
HighStored XSS, lateral auth bypass, local file inclusion2 000 USD
MediumReflected XSS500 USD
LowInformation leaks, best practices100 USD


A recompensa depende da seriedade do problema. A tabela acima descreve diferentes categorias de problemas e suas respectivas recompensas.

Reports de bugs sem a informação descrita acima não será considerado para recompensa. Falha em reproduzir o bug não lhe dará uma recompensa, então certifique-se de descrever os passos o mais precisamente que puder. Se um bug é reportado várias vezes, apenas o primeiro usuário que o reportar estará qualificado para uma recompensa.

Todas as provisões contidas nesta política devem ser consideradas integrais à e como uma extensão dos atuais Termos de Serviço e Política de Privacidade. Nenhuma ação tomada sob esta política com propósito de obter uma recompensa estará em conflito com os termos gerais de uso do website ou lei aplicável. Bugs reportados violando quaisquer termos de uso do website ou lei não serão recompensados.


Privacidade


Esteja ciente de que toda informação sobre nossos sistemas, incluindo bugs, erros e exploits, que não esteja publicamente disponível, é estritamente confidencial e qualquer divulgação é proibida. Você não deve compartilhar ou usar dessas informações para nenhum propósito se não enviar o report do bug para nós como descrito acima. Você não deve jamais tentar realizar ataques como engenharia social, phishing, ou ataques físicos contra nosso website, usuários ou infraestrutura.


Regras


Ao enviar um report de bug você concorda que podemos usar seus dados pessoais, bem como toda informação contida no reporte para garantir a segurança, integridade e operação confiável de nosso site. Ao mesmo tempo, você reconhece que leu e concordou com esta Política. Especialmente, você confirma e garante que:

Seu reporte de bug não violará nenhuma lei aplicável a você, ou disromper ou comprometer qualquer dado que não seja seu;
Você é unicamente responsável por quaisquer impostos aplicáveis, retidos ou não, provenientes de ou relacionados a sua participação no sistema de recompensa de big, incluindo quaisquer pagamentos de recompensas,
Key-Drop reserva o direito de terminar ou descontinuar o sistema de Recompensa de Bug à sua discrição;
o sistema de recompensa de bug trata apenas de vulnerabilidades nos sites operados pela Key-Drop. Quaisquer sites hospedados por subdomínios de key-drop.com que são operados por terceiros não devem ser testados.

Enviar um reporte é simples, mas existem alguns pontos que um reporte deve conter para ser considerado para uma recompensa. Todo reporte do bug, para ser considerado para uma recompensa, deve conter ao menos:

Seu nome, ID de usuário e detalhes de contato;
descrição detalhada do bug/exploit (pode ser breve em alguns casos - não importa desde que esteja completo e concreto)
passos para reproduzir o bug/ exploit;
detalhes sobre sistemas operacionais, software, versões que são relevantes;
Com qual frequência ocorrre quando tenta reproduzir (sempre, quase nunca, 50/50, etc);
se o bug/exploit não acontece com frequência e/ou é significantemente difícil de reproduzir as condições para que ocorra, prova (video/captura de tela) é necessária.

Qualquer informação adicional é bem-vinda. Quanto mais informação for enviada, mais fácil será para nós reproduzirmos o cenário descrito, encontrar a raiz do problema e consertar o que houver de errado. Podemos pedir informação ou evidência adicional em cada caso.

Atualizado em: 15/10/2022