Bug Bounty Latam

Bug Bounty Latam

Mejora la seguridad de startups en latinoamerica, incentivando a los programas de recompensa.

Bugs

190

hackers

1.302

startups

132

Detalles y Reglas del programa

El mantenimiento de la seguridad continua de primera categoría en Internet es un esfuerzo de toda la comunidad, y tenemos la suerte de contar con ustedes, un grupo excelente de investigadores de seguridad/hackers que ofrecen su tiempo para ayudar a detectar las diferentes vulnerabilidades que se presentan en startups de Latinoamerica mediante este programa.

Para reconocer sus esfuerzos que juegan en mantener la seguridad de algunas startups de latinoamerica, nosotros ofrecemos una recompensa por reportar ciertas vulnerabilidades de seguridad calificativas. Por favor revise las siguientes reglas del programa antes de reportar una vulnerabilidad. Al participar en este programa, usted acepta respetar las reglas y las politicas generales de divulgación responsable.

Boxug invita a todos los hackers participantes, a notificar por twitter con el hashtag: #BugBountyLatam que estas participando, reportando o han recibido una recompensa.

Usted puede encontrar algunas startups de latinoamerica en 500 Startups Latam o alguna lista diferente que conozcas. Este programa solo aplica para startups, no para empresas comunes o sitios webs que funcionen bajo un CMS y funcionen como empresa o sitio personal.

Recompensas

El equipo de boxug mediante Bug Bounty Latam proporciona recompensas a los reportes validos de vulnerabilidades. Nuestra recompensa mínima en este programa es de $3 USD a $36 USD. No hay una recompensa máxima. Las recompensas se pagan una vez hayan sido validadas por el equipo el mismo dia, al recibir el informe.

Vulnerabilidades calificadas

Cualquier problema o implementación que sea reproducible y afecte sustancialmente a la seguridad de los usuarios de las startups en latinoamerica es probable que esté en el ámbito del programa. Vea algunos ejemplos comunes:

  • Insecure Direct Object References (IDOR)
  • Authentication bypass | Broken Authentication and Session Management
  • Two-Factor Authentication Broken
  • Cross Site Request Forgery (CSRF)
  • Server-Side Request Forgery (SSRF)
  • Cross Site Scripting (XSS)
  • Cross Site Script Inclusion (XSSI)
  • XML External Entity Injection (XXE)
  • HTML injection en lugares no permitidos
  • Content Spoofing / External Authentication Injection
  • Remote Code Execution / shell injection (RCE)
  • Local File Inclusion (LFI)
  • Remote File Inclusion (RFI)
  • SQL Injection con filtrado de datos específicos (SQLi)
  • Fugas de información
  • Domain / Subdomain Takeover

Exclusión

No todas las vulnerabilidades reportadas pueden calificar para una recompensa monetaria. Sin embargo, todos los informes se revisan paso a paso y cualquier informe que sea efectivo pero de muy bajo impacto se le concederá la posibilidad de un reconocimiento en el salón de la fama.

  • Login / Logout CSRF
  • DDoS
  • Self XSS
  • Rompimiento de confianza SSL/TLS
  • Vulnerabilidades que sólo afectan a usuarios de navegadores y plataformas anticuadas o sin parches
  • Falta de encabezados de seguridad que no conducen directamente a una vulnerabilidad
  • Resultados de herramientas o escáneres automatizados
  • Vulnerabilidades que requieren acceso físico al dispositivo de un usuario afectado

Plantilla de informe

Tener en cuenta que la calidad/claridad de su informe es fundamental. Para que podamos reproducir la vulnerabilidad y validar su informe, asegúrese de que contenga los siguientes elementos.

  • ¿Qué tipo de fallo está reportando? ¿Encaja con algún problema de CWE o OWASP?
  • ¿Cómo se reproduce la vulnerabilidad? (Sea conciso al informar, trate de agregar capturas de pantalla)
  • ¿Cuál es la gravedad de su vulnerabilidad?
  • ¿Cuáles son algunos de los escenarios en los que un atacante podría aprovechar la vulnerabilidad?
  • Sugiera una posible solución (opcional)

Importante

Usted debe cumplir con todas las leyes aplicables en relación con su participación en este programa, también es responsable de cualquier impuesto asociado con cualquier recompensa que reciba. Todas las recompensas serán emitidas por PayPal.

Boxug nunca ha dado permiso/autorización (ya sea implícita o explícita) a un individuo o grupo de individuos para extraer información personal o el contenido de los usuarios de las startups y dar a conocer esta información al publico en Internet. Usted tampoco debe publicar que ha encontrado una vulnerabilidad en una startup, solo notificar que participa en el programa sin revelar información de las organizaciones en las que usted ha encontrado fallas. Si usted hace lo contrario a lo que se ha informado, esta infringiendo en las politicas establecidas del programa.

Agradecimientos especiales

Graciás a Beyond Security , Algolia, Noysi, The Eagle Labs por hacer posible este programa de recompensa para hackers y startups de toda latinoamerica, y a Xecretia por el gran apoyo y por hacer que desde boxug se haga el primer programa de recompensas presencial con su dispositivo movil UNSEEN 1.0 denominado como el telefono más seguro del mundo.

global
751 reportes

Pagos: $1.537 USD
Estás a un paso de mejorar la seguridad de startups.
Reportar vulnerabilidad

Crea un programa de recompensas

¡Manten la seguridad continua en tu organización!

Registrate hacker

¡Ayuda a mejorar la seguridad y obten recompensas!