Dailybot Security Bug Bounty

Bienvenido a nuestro Security Bug Bounty

En Dailybot nos tomamos la privacidad y la seguridad muy en serio. Por eso, animamos a todos a participar en nuestro programa abierto de bug bounty, que incentiva a investigadores y hackers a encontrar, divulgar y ayudarnos a resolver vulnerabilidades de seguridad de forma responsable. Como muchos programas de bug bounty, Dailybot tiene un conjunto de reglas bastante sencillo que ayuda a protegernos tanto a nosotros como a quienes divulgan. ¡Gracias por participar y feliz caza de bugs!

Cómo abordamos los problemas de seguridad

• Dailybot no tomará acciones legales contra los usuarios por divulgar vulnerabilidades según las instrucciones aquí indicadas.
• Los informes de vulnerabilidades siempre serán respondidos lo más rápido posible, generalmente en 24 horas.
• Proporcionaremos un informe completo de los pasos que hemos tomado para resolver cualquier problema que hayas reportado.
• Según la validez, gravedad y alcance de cada problema, te recompensaremos con cosas increíbles (o simplemente dinero en efectivo si lo prefieres).

Reglas del programa

• Solo usa y prueba en cuentas y servidores que te pertenezcan directamente. Las pruebas nunca deben afectar a otros usuarios.
• Las pruebas deben limitarse a sitios y servicios que Dailybot opera directamente. No aceptaremos informes de servicios de terceros o proveedores que se integren con Dailybot a través de nuestras APIs.
• No realices acciones que puedan dañar la confiabilidad o integridad de nuestros servicios y datos. Algunos ejemplos de actividades dañinas no permitidas en este bounty incluyen: fuerza bruta, denegación de servicio (DoS), spam, ataques de temporización, etc.
• No uses escáneres ni herramientas automatizadas para encontrar vulnerabilidades.
• No intentes probar los límites de tasa de la API ni hacer una gran cantidad de solicitudes en un período corto de tiempo.
• No se debe divulgar ni compartir públicamente información sobre problemas encontrados hasta que hayamos completado nuestra investigación y resolución. Después de la confirmación, eres libre de documentar y publicar cualquier información sobre los problemas que hayas encontrado.

Vulnerabilidades fuera de alcance

Al reportar vulnerabilidades, considera (1) el escenario de ataque / explotabilidad, y (2) el impacto de seguridad del bug. Los siguientes problemas generalmente se consideran fuera de alcance (lista no exhaustiva):

• Enumeración de cuentas/correos electrónicos
• Ataques que requieren MITM o acceso físico al dispositivo del usuario
• Ataques de fuerza bruta
• Límites de tasa de API
• Clickjacking
• Suplantación de contenido e inyección de texto
• Vulnerabilidades CSRF
• Ataques de denegación de servicio
• Registros de correo SPF, DKIM y DMARC
• Enumeración de invitaciones
• Banderas faltantes de cookies HttpOnly/Secure
• Encabezados CORS abiertos
• Paneles de inicio de sesión accesibles públicamente
• Informes de escáneres y herramientas automatizadas
• Informes fuera de los subdominios app.dailybot.com, api.dailybot.co y api.dailybot.com
• Autoexplotación (como reutilización de tokens y scripting de consola)
• Ingeniería social o ataques de phishing dirigidos a usuarios o personal
• Vulnerabilidades relacionadas con otros sistemas (p. ej. help.dailybot.com) que es una aplicación Zendesk