Artigos sobre: Recompensas de Bugs
Este artigo também está disponível em:

Encontrei um bug ou exploit

Programa de Recompensas de Bugs Key-Drop



Key-Drop oferece um sistema de recompensa de bugs onde utilizadores registados e activos do Key-Drop podem reportar bugs, erros e exploits e ser recompensados. O principal objectivo é sempre melhorar e proporcionar a melhor experiência aos nossos utilizadores, e você pode ajudar-nos a conseguir isso! Pedimos-lhe que actue sempre de forma responsável e no melhor interesse da Key-Drop e dos seus utilizadores.


Categorias de problemas




RelevânciaExemplosPagamento Máximo
CriticalRCE, SQLi, vertical auth bypass, unauthorized access to highly sensitive data5000 USD
HighStored XSS, lateral auth bypass, local file inclusion2000 USD
MediumReflected XSS500 USD
LowInformation leaks, best practices100 USD


A recompensa depende da gravidade do problema relatado. O quadro acima descreve diferentes categorias de problemas e as suas correspondentes recompensas.

Os relatórios de bugs sem a informação acima descrita não serão considerados para recompensa. A não reprodução do bug não lhe concederá uma recompensa, por isso certifique-se de descrever os passos com a maior precisão possível. Se um bug for reportado várias vezes, apenas o primeiro utilizador que o reportou será elegível para uma recompensa.

Todas as disposições contidas nesta política devem ser consideradas como parte integrante e como uma extensão dos actuais Termos de Serviço e Política de Privacidade. Nenhuma acção tomada ao abrigo desta política e com o objectivo de obter uma recompensa pode estar em conflito com os termos gerais de utilização do website ou com a lei aplicável. Os erros reportados em violação de quaisquer termos de utilização do website ou da lei não serão recompensados.


Privacidade


É favor estar ciente de que toda a informação sobre os nossos sistemas, incluindo bugs, erros e explorações, que não está disponível ao público, é estritamente confidencial e qualquer divulgação é proibida. Não deve partilhá-la ou utilizá-la para qualquer outro fim que não seja o de nos enviar o relatório de bug, conforme descrito acima. Nunca deve tentar ataques não técnicos, tais como engenharia social, phishing, ou ataques físicos contra o nosso website, empregados, utilizadores, ou infra-estruturas.


Regras


Ao enviar um relatório de bug, concorda que podemos utilizar os seus dados pessoais, bem como toda a informação contida no relatório, a fim de garantir a segurança, integridade e funcionamento fiável do nosso website. Ao mesmo tempo, reconhece que leu e concordou com esta Política. Especialmente, confirma e assegura que:

o seu relatório de bug não violará qualquer lei que lhe seja aplicável, nem perturbará ou comprometerá quaisquer dados que não sejam os seus;
é o único responsável por quaisquer impostos aplicáveis, retenções na fonte ou outros, decorrentes ou relacionados com a sua participação no sistema de recompensa de bugs, incluindo de quaisquer pagamentos de recompensa,
A Key-Drop reserva-se o direito de terminar ou descontinuar o sistema Bug Bounty a seu exclusivo critério;
O sistema de recompensa de bugs apenas diz respeito às vulnerabilidades nos sites operados pela Key-Drop. Quaisquer sítios alojados em subdomínios de key-drop.com que sejam operados por terceiros e não devem ser testados.

Submeter um relatório é simples, mas há alguns pontos que um relatório precisa de ter para ser considerado para uma recompensa. Cada relatório de bug, para ser considerado como recompensa, deve conter pelo menos:

O seu nome, ID de utilizador e detalhes de contacto;
descrição detalhada do bug/exploit (pode ser breve em alguns casos - o comprimento não importa desde que esteja completo e concreto);
passos para reproduzir o bug/exploit;
detalhes sobre sistemas operacionais, software, versões que são relevantes;
com que frequência acontece quando se tenta reproduzi-lo (sempre, quase nunca acontece, 50/50, etc.);
se o bug/exploit não acontecer frequentemente e/ou se for significativamente difícil reproduzir as condições para que ocorra, é necessária uma prova (vídeo/ captura de ecrã).

Qualquer informação adicional é bem-vinda. Quanto mais informação enviar, mais fácil será para nós reproduzir o cenário descrito, encontrar a causa raiz e corrigir o que estiver errado. Podemos pedir-lhe informações ou provas adicionais em cada caso.

Actualizado em: 15/10/2022