Política White Hat
Valoramos a los investigadores de seguridad que nos ayudan a mantener nuestra plataforma segura. Reporta vulnerabilidades de forma responsable y recibe una recompensa.
Nuestro compromiso
Kobana anima a los investigadores de seguridad a reportar vulnerabilidades de forma responsable. Investigamos todos los reportes legítimos y nos comprometemos a corregir los problemas identificados.
No tomaremos acciones legales contra los investigadores que sigan las directrices de divulgación responsable descritas en esta política.
Política de divulgación responsable
Para recibir protección legal, los investigadores deben seguir estas directrices
Permitir un plazo razonable para la investigación antes de divulgar o compartir públicamente los detalles de la vulnerabilidad
Obtener autorización antes de acceder a cuentas individuales o datos de clientes
Minimizar el daño a otros clientes evitando la destrucción de datos o la interrupción del servicio
No explotar las vulnerabilidades descubiertas para ningún fin
Cumplir con todas las leyes y regulaciones aplicables
Estructura de recompensas
Recompensas basadas en la severidad e impacto de la vulnerabilidad
| Tipo de vulnerabilidad | Recompensa |
|---|---|
Bugs no relacionados con seguridad Problemas funcionales sin impacto en seguridad | No aplica |
Datos privados no protegidos Exposición de datos que deberían estar protegidos | R$ 500 - R$ 1.000 |
Acceso a datos protegidos por LGPD Vulnerabilidades que permiten acceso a datos personales | R$ 1.000 - R$ 5.000 |
Acceso completo a los datos de Kobana Vulnerabilidades críticas de acceso total | R$ 5.000+ |
Donaciones benéficas
Las donaciones a entidades benéficas u ONG reciben el doble de recompensa. La factura debe enviarse dentro de los 10 días posteriores a la aprobación para el procesamiento del pago.
Activos cubiertos
El programa cubre los siguientes dominios y servicios de Kobana
Sitio web
www.kobana.com.br
Aplicación
app.kobana.com.br, app-sandbox.kobana.com.br
API
api.kobana.com.br, api-sandbox.kobana.com.br
Hosting
bole.to, kdoc.to
Portal del cliente
portal.bole.to
Enlace de pago
checkout.kobana.com.br
Los servicios de terceros no están cubiertos por el programa.
Reportes no elegibles
Los siguientes tipos de reportes no son elegibles para recompensa
Ingeniería social, spam o ataques DDoS
Inserción de contenido, salvo que demuestre un riesgo considerable
Vulnerabilidades en integraciones de terceros
Scripts en dominios sandbox
Vulnerabilidades que requieren acceso físico al dispositivo del usuario
Vulnerabilidades en software desactualizado no utilizado
Envía los reportes de seguridad exclusivamente al email indicado a continuación. No contactes a los empleados directamente.
whitehat@kobana.com.brDirectrices para un buen reporte:
- Detalla los pasos de reproducción con URLs e IDs de usuario
- Proporciona descripciones claras de la cuenta utilizada
- Prioriza la claridad sobre la cantidad de información
- Los vídeos deben ser cortos, legibles (480p+) y con descripciones escritas
- Incluye el impacto potencial de la vulnerabilidad
- No compartas los detalles con terceros antes de la corrección
Requisitos de elegibilidad
Para ser elegible, debes:
- Cumplir con la política de divulgación responsable
- Reportar bugs reales de seguridad que creen riesgos de privacidad/seguridad
- Enfocarte en productos dentro del alcance del programa
- Excluir tipos de vulnerabilidad no elegibles
Proceso de pago:
- Validación del reporte por el equipo de seguridad
- Clasificación de severidad y definición de recompensa
- Envío de factura dentro de 10 días tras la aprobación
- Procesamiento del pago tras la recepción de la factura
Documentos relacionados
¿Encontraste una vulnerabilidad?
Repórtala de forma responsable y ayuda a mantener Kobana segura para todos.