Política White Hat
Valorizamos pesquisadores de segurança que nos ajudam a manter nossa plataforma segura. Reporte vulnerabilidades de forma responsável e seja recompensado.
Nosso Compromisso
A Kobana incentiva pesquisadores de segurança a reportar vulnerabilidades de forma responsável. Investigamos todos os relatórios legítimos e nos comprometemos a remediar os problemas identificados.
Não tomaremos ações legais contra pesquisadores que seguirem as diretrizes de divulgação responsável descritas nesta política.
Política de Divulgação Responsável
Para receber proteção legal, os pesquisadores devem seguir estas diretrizes
Conceda tempo razoável para investigação antes de divulgar publicamente ou compartilhar detalhes da vulnerabilidade
Obtenha autorização antes de acessar contas individuais ou dados de clientes
Minimize danos a outros clientes, evitando destruição de dados ou interrupção de serviços
Não explore as vulnerabilidades descobertas para qualquer finalidade
Cumpra todas as leis e regulamentações aplicáveis
Estrutura de Recompensas
Faixas diferenciadas conforme a denúncia demonstre dano real ou apenas dano potencial
Dano real
Impacto material demonstrado dentro da política de divulgação responsável — por exemplo, dados pessoais reais expostos, token válido em produção reutilizado, conta comprometida ou cadeia de exploração end-to-end reproduzida em produção.
Dano potencial
Vetor reproduzível e análise técnica correta, mas sem impacto material concretizado — por exemplo, testes com dados sintéticos, metadados sem PII ou cadeia que depende de premissa adicional não verificada.
| Tipo de Vulnerabilidade | Dano real | Dano potencial |
|---|---|---|
Bugs não relacionados a segurança Problemas funcionais sem impacto de segurança | Não aplicável | Não aplicável |
Dados privados não protegidos pela LGPD Exposição de dados privados fora do escopo LGPD | R$ 500 - R$ 1.000 | R$ 250 - R$ 500 |
Acesso a dados protegidos pela LGPD Vulnerabilidades que permitem acesso a dados pessoais | R$ 1.000 - R$ 5.000 | R$ 500 - R$ 2.500 |
Acesso a todos os dados da Kobana Vulnerabilidades críticas de acesso total | R$ 5.000+ | R$ 2.500+ |
Recompensa ex-gratia
Para findings reais mas de baixa explorabilidade ou fora do escopo financeiro acima, podemos pagar uma recompensa ex-gratia a partir de US$ 50 como reconhecimento da contribuição, sem que isso configure precedente para casos futuros.
Doações para caridade
Doações para instituições de caridade ou ONGs (sujeito à aprovação pela Kobana) recebem recompensas em dobro. A nota fiscal deve ser enviada em até 10 dias após a aprovação para processamento do pagamento.
Ativos Cobertos
Qualquer subdomínio dos domínios abaixo, incluindo ambientes de produção e sandbox
Domínio principal
*.kobana.com.br
Hospedagem de boletos
*.bole.to
Hospedagem de documentos
*.kdoc.to
Serviços de terceiros não estão cobertos pelo programa.
Relatórios Não Elegíveis
Os seguintes tipos de relatórios não são elegíveis para recompensa
Engenharia social, spam ou ataques DDoS
Inserção de conteúdo, exceto se demonstrar risco considerável
Envio de mensagens para qualquer pessoa da Kobana
Vulnerabilidades em integrações de terceiros
Scripts em domínios sandbox
Vulnerabilidades que requerem acesso físico ao dispositivo do usuário
Vulnerabilidades em software desatualizado que não esteja em uso
Envie relatórios de segurança exclusivamente para o e-mail abaixo. Não entre em contato diretamente com funcionários.
whitehat@kobana.com.brDiretrizes para um bom relatório:
- Detalhe os passos de reprodução com URLs e IDs de usuário
- Forneça descrições claras da conta utilizada
- Priorize clareza sobre quantidade de informações
- Vídeos devem ser curtos, legíveis (480p+), com descrições escritas
- Inclua o impacto potencial da vulnerabilidade
- Não compartilhe detalhes com terceiros antes da correção
Requisitos de Elegibilidade
Para ser elegível, você deve:
- Cumprir a política de divulgação responsável
- Reportar erros reais de segurança que criem riscos de privacidade/segurança
- Focar em produtos dentro do escopo do programa
- Excluir tipos de vulnerabilidades não elegíveis
Processo de pagamento:
- Validação do relatório pela equipe de segurança
- Classificação da severidade e definição da recompensa
- Envio de nota fiscal em até 10 dias após aprovação
- Processamento do pagamento após recebimento da NF
Documentos Relacionados
Encontrou uma vulnerabilidade?
Reporte de forma responsável e ajude a manter a Kobana segura para todos.