Política White Hat
Valorizamos pesquisadores de segurança que nos ajudam a manter nossa plataforma segura. Reporte vulnerabilidades de forma responsável e seja recompensado.
Nosso Compromisso
A Kobana incentiva pesquisadores de segurança a reportar vulnerabilidades de forma responsável. Investigamos todos os relatórios legítimos e nos comprometemos a remediar os problemas identificados.
Não tomaremos ações legais contra pesquisadores que seguirem as diretrizes de divulgação responsável descritas nesta política.
Política de Divulgação Responsável
Para receber proteção legal, os pesquisadores devem seguir estas diretrizes
Conceda tempo razoável para investigação antes de divulgar publicamente ou compartilhar detalhes da vulnerabilidade
Obtenha autorização antes de acessar contas individuais ou dados de clientes
Minimize danos a outros clientes, evitando destruição de dados ou interrupção de serviços
Não explore as vulnerabilidades descobertas para qualquer finalidade
Cumpra todas as leis e regulamentações aplicáveis
Estrutura de Recompensas
Recompensas baseadas na severidade e impacto da vulnerabilidade
| Tipo de Vulnerabilidade | Recompensa |
|---|---|
Bugs não relacionados a segurança Problemas funcionais sem impacto de segurança | Não aplicável |
Dados privados desprotegidos Exposição de dados que deveriam estar protegidos | R$ 500 - R$ 1.000 |
Acesso a dados protegidos pela LGPD Vulnerabilidades que permitem acesso a dados pessoais | R$ 1.000 - R$ 5.000 |
Acesso completo aos dados da Kobana Vulnerabilidades críticas de acesso total | R$ 5.000+ |
Doações para caridade
Doações para instituições de caridade ou ONGs recebem recompensas em dobro. A nota fiscal deve ser enviada em até 10 dias após a aprovação para processamento do pagamento.
Ativos Cobertos
O programa cobre os seguintes domínios e serviços da Kobana
Website
www.kobana.com.br
Aplicação
app.kobana.com.br, app-sandbox.kobana.com.br
API
api.kobana.com.br, api-sandbox.kobana.com.br
Hospedagem
bole.to, kdoc.to
Portal do cliente
portal.bole.to
Link de pagamento
checkout.kobana.com.br
Serviços de terceiros não estão cobertos pelo programa.
Relatórios Não Elegíveis
Os seguintes tipos de relatórios não são elegíveis para recompensa
Engenharia social, spam ou ataques DDoS
Inserção de conteúdo, exceto se demonstrar risco considerável
Vulnerabilidades em integrações de terceiros
Scripts em domínios sandbox
Vulnerabilidades que requerem acesso físico ao dispositivo do usuário
Vulnerabilidades em software desatualizado que não esteja em uso
Envie relatórios de segurança exclusivamente para o e-mail abaixo. Não entre em contato diretamente com funcionários.
whitehat@kobana.com.brDiretrizes para um bom relatório:
- Detalhe os passos de reprodução com URLs e IDs de usuário
- Forneça descrições claras da conta utilizada
- Priorize clareza sobre quantidade de informações
- Vídeos devem ser curtos, legíveis (480p+), com descrições escritas
- Inclua o impacto potencial da vulnerabilidade
- Não compartilhe detalhes com terceiros antes da correção
Requisitos de Elegibilidade
Para ser elegível, você deve:
- Cumprir a política de divulgação responsável
- Reportar erros reais de segurança que criem riscos de privacidade/segurança
- Focar em produtos dentro do escopo do programa
- Excluir tipos de vulnerabilidades não elegíveis
Processo de pagamento:
- Validação do relatório pela equipe de segurança
- Classificação da severidade e definição da recompensa
- Envio de nota fiscal em até 10 dias após aprovação
- Processamento do pagamento após recebimento da NF
Documentos Relacionados
Encontrou uma vulnerabilidade?
Reporte de forma responsável e ajude a manter a Kobana segura para todos.