Encontrei um bug ou exploit
Programa de Recompensas de Bugs Key-Drop
Key-Drop oferece um sistema de recompensa de bugs onde utilizadores registados e activos do Key-Drop podem reportar bugs, erros e exploits e ser recompensados. O principal objectivo é sempre melhorar e proporcionar a melhor experiência aos nossos utilizadores, e você pode ajudar-nos a conseguir isso! Pedimos-lhe que actue sempre de forma responsável e no melhor interesse da Key-Drop e dos seus utilizadores.
Categorias de problemas
| Relevância | Exemplos | Pagamento Máximo |
|---|---|---|
| Critical | RCE, SQLi, vertical auth bypass, unauthorized access to highly sensitive data | 5000 USD |
| High | Stored XSS, lateral auth bypass, local file inclusion | 2000 USD |
| Medium | Reflected XSS | 500 USD |
| Low | Information leaks, best practices | 100 USD |
A recompensa depende da gravidade do problema relatado. O quadro acima descreve diferentes categorias de problemas e as suas correspondentes recompensas.
Os relatórios de bugs sem a informação acima descrita não serão considerados para recompensa. A não reprodução do bug não lhe concederá uma recompensa, por isso certifique-se de descrever os passos com a maior precisão possível. Se um bug for reportado várias vezes, apenas o primeiro utilizador que o reportou será elegível para uma recompensa.
Todas as disposições contidas nesta política devem ser consideradas como parte integrante e como uma extensão dos actuais Termos de Serviço e Política de Privacidade. Nenhuma acção tomada ao abrigo desta política e com o objectivo de obter uma recompensa pode estar em conflito com os termos gerais de utilização do website ou com a lei aplicável. Os erros reportados em violação de quaisquer termos de utilização do website ou da lei não serão recompensados.
Privacidade
É favor estar ciente de que toda a informação sobre os nossos sistemas, incluindo bugs, erros e explorações, que não está disponível ao público, é estritamente confidencial e qualquer divulgação é proibida. Não deve partilhá-la ou utilizá-la para qualquer outro fim que não seja o de nos enviar o relatório de bug, conforme descrito acima. Nunca deve tentar ataques não técnicos, tais como engenharia social, phishing, ou ataques físicos contra o nosso website, empregados, utilizadores, ou infra-estruturas.
Regras
Ao enviar um relatório de bug, concorda que podemos utilizar os seus dados pessoais, bem como toda a informação contida no relatório, a fim de garantir a segurança, integridade e funcionamento fiável do nosso website. Ao mesmo tempo, reconhece que leu e concordou com esta Política. Especialmente, confirma e assegura que:
o seu relatório de bug não violará qualquer lei que lhe seja aplicável, nem perturbará ou comprometerá quaisquer dados que não sejam os seus;
é o único responsável por quaisquer impostos aplicáveis, retenções na fonte ou outros, decorrentes ou relacionados com a sua participação no sistema de recompensa de bugs, incluindo de quaisquer pagamentos de recompensa,
A Key-Drop reserva-se o direito de terminar ou descontinuar o sistema Bug Bounty a seu exclusivo critério;
O sistema de recompensa de bugs apenas diz respeito às vulnerabilidades nos sites operados pela Key-Drop. Quaisquer sítios alojados em subdomínios de key-drop.com que sejam operados por terceiros e não devem ser testados.
Submeter um relatório é simples, mas há alguns pontos que um relatório precisa de ter para ser considerado para uma recompensa. Cada relatório de bug, para ser considerado como recompensa, deve conter pelo menos:
O seu nome, ID de utilizador e detalhes de contacto;
descrição detalhada do bug/exploit (pode ser breve em alguns casos - o comprimento não importa desde que esteja completo e concreto);
passos para reproduzir o bug/exploit;
detalhes sobre sistemas operacionais, software, versões que são relevantes;
com que frequência acontece quando se tenta reproduzi-lo (sempre, quase nunca acontece, 50/50, etc.);
se o bug/exploit não acontecer frequentemente e/ou se for significativamente difícil reproduzir as condições para que ocorra, é necessária uma prova (vídeo/ captura de ecrã).
Qualquer informação adicional é bem-vinda. Quanto mais informação enviar, mais fácil será para nós reproduzir o cenário descrito, encontrar a causa raiz e corrigir o que estiver errado. Podemos pedir-lhe informações ou provas adicionais em cada caso.
Actualizado em: 15/10/2022