Política White Hat
Valoramos a los investigadores de seguridad que nos ayudan a mantener nuestra plataforma segura. Reporta vulnerabilidades de forma responsable y recibe una recompensa.
Nuestro compromiso
Kobana anima a los investigadores de seguridad a reportar vulnerabilidades de forma responsable. Investigamos todos los reportes legítimos y nos comprometemos a corregir los problemas identificados.
No tomaremos acciones legales contra los investigadores que sigan las directrices de divulgación responsable descritas en esta política.
Política de divulgación responsable
Para recibir protección legal, los investigadores deben seguir estas directrices
Permitir un plazo razonable para la investigación antes de divulgar o compartir públicamente los detalles de la vulnerabilidad
Obtener autorización antes de acceder a cuentas individuales o datos de clientes
Minimizar el daño a otros clientes evitando la destrucción de datos o la interrupción del servicio
No explotar las vulnerabilidades descubiertas para ningún fin
Cumplir con todas las leyes y regulaciones aplicables
Estructura de recompensas
Rangos diferenciados según el reporte demuestre daño real o solo daño potencial
Daño real
Impacto material demostrado dentro de la política de divulgación responsable — por ejemplo, datos personales reales expuestos, token válido en producción reutilizado, cuenta comprometida o cadena de explotación end-to-end reproducida en producción.
Daño potencial
Vector reproducible y análisis técnico correcto, pero sin impacto material concretado — por ejemplo, pruebas con datos sintéticos, metadatos sin PII o cadena que depende de una premisa adicional no verificada.
| Tipo de vulnerabilidad | Daño real | Daño potencial |
|---|---|---|
Bugs no relacionados con seguridad Problemas funcionales sin impacto en seguridad | No aplica | No aplica |
Datos privados no protegidos por LGPD Exposición de datos privados fuera del alcance de LGPD | US$ 100 - US$ 200 | US$ 50 - US$ 100 |
Acceso a datos protegidos por LGPD Vulnerabilidades que permiten acceso a datos personales | US$ 200 - US$ 1.000 | US$ 100 - US$ 500 |
Acceso a todos los datos de Kobana Vulnerabilidades críticas de acceso total | US$ 1.000+ | US$ 500+ |
Recompensa ex-gratia
Para hallazgos reales con baja explotabilidad o fuera de los rangos financieros anteriores, podemos pagar una recompensa ex-gratia desde US$ 50 como reconocimiento de la contribución, sin sentar precedente para casos futuros.
Donaciones benéficas
Las donaciones a entidades benéficas u ONG (sujetas a aprobación de Kobana) reciben el doble de recompensa. La factura debe enviarse dentro de los 10 días posteriores a la aprobación para el procesamiento del pago.
Activos cubiertos
Cualquier subdominio de los dominios siguientes, incluyendo entornos de producción y sandbox
Dominio principal
*.kobana.com.br
Hosting de boletos
*.bole.to
Hosting de documentos
*.kdoc.to
Los servicios de terceros no están cubiertos por el programa.
Reportes no elegibles
Los siguientes tipos de reportes no son elegibles para recompensa
Ingeniería social, spam o ataques DDoS
Inserción de contenido, salvo que demuestre un riesgo considerable
Envío de mensajes a cualquier persona de Kobana
Vulnerabilidades en integraciones de terceros
Scripts en dominios sandbox
Vulnerabilidades que requieren acceso físico al dispositivo del usuario
Vulnerabilidades en software desactualizado no utilizado
Envía los reportes de seguridad exclusivamente al email indicado a continuación. No contactes a los empleados directamente.
whitehat@kobana.com.brDirectrices para un buen reporte:
- Detalla los pasos de reproducción con URLs e IDs de usuario
- Proporciona descripciones claras de la cuenta utilizada
- Prioriza la claridad sobre la cantidad de información
- Los vídeos deben ser cortos, legibles (480p+) y con descripciones escritas
- Incluye el impacto potencial de la vulnerabilidad
- No compartas los detalles con terceros antes de la corrección
Requisitos de elegibilidad
Para ser elegible, debes:
- Cumplir con la política de divulgación responsable
- Reportar bugs reales de seguridad que creen riesgos de privacidad/seguridad
- Enfocarte en productos dentro del alcance del programa
- Excluir tipos de vulnerabilidad no elegibles
Proceso de pago:
- Validación del reporte por el equipo de seguridad
- Clasificación de severidad y definición de recompensa
- Envío de factura dentro de 10 días tras la aprobación
- Procesamiento del pago tras la recepción de la factura
Documentos relacionados
¿Encontraste una vulnerabilidad?
Repórtala de forma responsable y ayuda a mantener Kobana segura para todos.