Programa Bug Bounty
Na E-goi, a nossa equipa de Desenvolvimento e Segurança esforça-se para manter a nossa plataforma segura contra violações de segurança e erros. Para manter esse compromisso, criámos um Programa de Recompensas de Bugs para que qualquer pessoa possa, de forma segura e responsável, informar-nos sobre possíveis bugs ou falhas de segurança desconhecidas.
Como reportar?
Para entrar em contacto connosco sobre uma potencial falha de segurança ou bug, clique no botão abaixo e preencha o formulário, ou envie diretamente um e-mail para a nossa Equipa de Segurança em security@e-goi.com .
É crucial que, no seu e-mail, detalhe ao máximo a natureza da falha e, mais importante, forneça os passos necessários para reproduzi-la.
A nossa equipa dedicar-se-á a examinar o seu relatório rapidamente, a fim de confirmar e reproduzir a falha mencionada, ou para entrar em contacto consigo solicitando mais detalhes sobre o bug encontrado. Se precisar reportar múltiplos problemas, por favor, envie um e-mail separado para cada um, garantindo assim um tratamento individualizado.
Solicitamos também que não faça a divulgação pública das suas descobertas sem a nossa autorização prévia.
Prémios
O nosso Programa de Recompensa de Bugs oferece gratificações a quem identificar e reportar problemas novos e inéditos. As recompensas são determinadas pela gravidade da falha de segurança, variando de $10 USD para falhas de gravidade Baixa, $40 USD para Média, e $100 USD para Alta.
Falhas de segurança que expõem informações sensíveis ou que podem comprometer a disponibilidade do nosso serviço são geralmente consideradas de Alto risco. Stored exploits são frequentemente classificados como Médios, enquanto vulnerabilidades como Reflected XSS ou Open URL Redirection são normalmente de Baixo risco.
Para ser elegível ao pagamento, é necessário ter uma conta válida no Paypal. Além disso, o problema reportado deve ser reproduzido pela nossa equipa, único e inédito. A recompensa será concedida apenas ao primeiro relator de um problema específico; relatórios duplicados serão verificados em relação ao original para confirmação.
Escopo do Programa
Os bugs e relatórios devem ser referentes à nossa plataforma principal, E-goi, que pode acessar usando o URL: https://login.egoiapp.com.
Pedimos que não tente fazer nenhuma ação em contas existentes, mas sim, crie uma conta exclusiva para os seus testes (pode criar gratuitamente :)). Se encontrar uma falha que possa comprometer a disponibilidade da nossa plataforma, pedimos que entre em contacto connosco em vez de testá-la primeiro.
Embora aceitemos relatórios de falhas em softwares de terceiros, como WordPress, Jira, LiveAgent, entre outros, que possam ser usados no nosso Site ou Blog, normalmente, estes não são elegíveis para recompensa, a menos que representem uma Violação de Dados.
As vulnerabilidades mais comuns que podem ser recompensadas são:
- Execução de Comando Remoto (RCE)
- Injeção SQL
- Proteção Fraca de Sessão/Conta
- Gerenciamento de Sessão Quebrado
- Bypass de Controle de Acesso
- Cross-Site Scripting (XSS) Refletido ou Armazenado
- Roubo de Cookie
- Redirecionamentos Abertos
- Ataques de Enumeração
