Programa de recompensas de errores centrica

Obtenga recompensas líderes en la industria

Bug Bounty

La recompensa por errores está actualmente cerrada.

Bug Bounty

Aunque nuestro equipo ha hecho todo lo posible para eliminar todos los errores en nuestros sistemas, siempre existe la posibilidad de que nos hayamos perdido uno que plantea una vulnerabilidad significativa. Si descubre un error, apreciamos sus esfuerzos y le ayudamos a informarnos para que podamos solucionarlo lo antes posible. Para errores significativos, ofrecemos recompensas como se describe a continuación.

Investigación y Reporte Responsable

La investigación y los informes responsables incluyen, pero no se limitan a, lo siguiente: 

  • No viole la privacidad de otros usuarios, destruya datos, interrumpa nuestros servicios, etc.
  • Solo apunte a sus propias cuentas en el proceso de investigación del error. No se dirija, intente acceder o interrumpa las cuentas de otros usuarios.
  • No apunte a nuestras medidas de seguridad física, ni intente utilizar ataques de ingeniería social, spam, denegación de servicio distribuida (DDOS), etc.
  • Si estás utilizando un ordenador portátil o una tablet, intenta moverte a otra ubicación e inténtalo de nuevo.
  • Danos una cantidad razonable de tiempo para corregir el error antes de revelarlo a cualquier otra persona, y danos una advertencia adecuada por escrito antes de revelarlo a cualquier otra persona.

En general, investigue y denuncie errores de una manera que haga un esfuerzo razonable y de buena fe para no ser perjudicial o perjudicial para nosotros o nuestros usuarios. De lo contrario, sus acciones podrían interpretarse como un ataque en lugar de un esfuerzo por ser útiles.

Elegibilidad

En términos generales, cualquier error que suponga una vulnerabilidad significativa, ya sea a la seguridad de nuestro sitio o billetera, podría ser elegible para la recompensa. Pero es totalmente a nuestra discreción decidir si un error es lo suficientemente significativo como para ser elegible para una recompensa.

Los problemas de seguridad que normalmente serían elegibles (aunque no necesariamente en todos los casos) incluyen:

  • Falsificación de solicitudes entre sitios (CSRF)
  • Scripting entre sitios (XSS)
  • Inyección de código
  • Ejecución remota de código
  • Escalada de privilegios
  • Bypass de autenticación
  • Secuestro de clicking
  • Fuga de datos confidenciales

Inelegibilidad

Las cosas que no son elegibles para la recompensa incluyen:

  • Vulnerabilidades en sitios alojados por terceros a menos que conduzcan a una vulnerabilidad en el sitio web principal.
  • Vulnerabilidades y errores en el blog de Centric.
  • Vulnerabilidades supeditadas a ataques físicos, ingeniería social, spam, ataque DDOS, etc.
  • Vulnerabilidades que afectan a navegadores obsoletos o sin parches.
  • Vulnerabilidades en aplicaciones de terceros que hacen uso de la API de Centric.
  • Errores que no han sido investigados y reportados de manera responsable.
  • Errores ya conocidos por nosotros, o ya reportados por otra persona (la recompensa va a primer reportero).
  • Problemas que no son reproducibles.
  • Problemas que no podemos esperar razonablemente que hacer nada.

Recompensa

  • La recompensa mínima para los errores elegibles es el equivalente a $100 USD en Bitcoins.
  • Las recompensas por encima del mínimo son a nuestra discreción, pero pagaremos significativamente más por problemas particularmente serios.
  • Sólo una recompensa por error.

Cómo reportar un error

  • Envíe su informe de errores a bugbounty@centricfoundation.com
  • Trate de incluir tanta información en su informe como pueda, incluyendo una descripción del error, su impacto potencial y los pasos para reproducirlo o prueba de concepto
  • Incluya su nombre y la mejor manera de volver a ponerse en contacto en caso de que el equipo de desarrollo necesite pedir más información.
  • Incluya su dirección BTC para el pago.
  • Por favor, espere 2 días hábiles para que respondamos antes de enviar otro correo electrónico.