Dailybot Security Bug Bounty

Bem-vindo ao nosso Security Bug Bounty

No Dailybot, levamos a privacidade e a segurança muito a sério. Por isso, incentivamos todos a participar do nosso programa aberto de bug bounty, que incentiva pesquisadores e hackers a encontrar, divulgar e nos ajudar a resolver vulnerabilidades de segurança de forma responsável. Como muitos programas de bug bounty, o Dailybot tem um conjunto de regras bastante direto que ajuda a proteger tanto a nós quanto aqueles que divulgam. Obrigado por participar e boa caça aos bugs!

Como abordamos problemas de segurança

• O Dailybot não tomará ações legais contra usuários por divulgar vulnerabilidades conforme as instruções aqui.
• Os relatórios de vulnerabilidades sempre serão respondidos o mais rápido possível—geralmente em 24 horas.
• Forneceremos um relatório completo das etapas que tomamos para resolver quaisquer problemas que você reportou.
• Com base na validade, gravidade e escopo de cada problema, recompensaremos você com coisas incríveis (ou apenas dinheiro em espécie se preferir).

Regras do programa

• Use e teste apenas em contas e servidores que você possui diretamente. Os testes nunca devem afetar outros usuários.
• Os testes devem ser limitados a sites e serviços que o Dailybot opera diretamente. Não aceitaremos relatórios de serviços ou provedores terceirizados que se integram ao Dailybot por meio de nossas APIs.
• Não realize ações que possam prejudicar a confiabilidade ou integridade de nossos serviços e dados. Alguns exemplos de atividades prejudiciais não permitidas neste bounty incluem: força bruta, negação de serviço (DoS), spam, ataques de temporização, etc.
• Não use scanners ou ferramentas automatizadas para encontrar vulnerabilidades.
• Não tente testar os limites de taxa da API nem fazer uma grande quantidade de solicitações em um curto período de tempo.
• Nenhuma informação sobre problemas encontrados deve ser divulgada ou compartilhada publicamente até que tenhamos concluído nossa investigação e resolução. Após a confirmação, você é livre para documentar e publicar qualquer informação sobre os problemas que encontrou.

Vulnerabilidades fora do escopo

Ao reportar vulnerabilidades, considere (1) o cenário de ataque / explorabilidade, e (2) o impacto de segurança do bug. Os seguintes problemas geralmente são considerados fora do escopo (lista não exaustiva):

• Enumeração de conta/e-mail
• Ataques que exigem MITM ou acesso físico ao dispositivo do usuário
• Ataques de força bruta
• Limites de taxa de API
• Clickjacking
• Falsificação de conteúdo e injeção de texto
• Vulnerabilidades CSRF
• Ataques de negação de serviço
• Registros de e-mail SPF, DKIM e DMARC
• Enumeração de convites
• Bandeiras HttpOnly/Secure de cookies ausentes
• Cabeçalhos CORS abertos
• Painéis de login acessíveis publicamente
• Relatórios de scanners e ferramentas automatizadas
• Relatórios fora dos subdomínios app.dailybot.com, api.dailybot.co e api.dailybot.com
• Autoexploração (como reutilização de token e script de console)
• Engenharia social ou ataques de phishing direcionados a usuários ou equipe
• Vulnerabilidades relacionadas a outros sistemas (ex. help.dailybot.com) que é um aplicativo Zendesk