Seguridad
Programa de Recompensas por Errores. Encuentra vulnerabilidades, obtén recompensas.
Ayúdanos a mejorar nuestra seguridad y gana recompensas. Invitamos a investigadores de seguridad a probar nuestros sistemas de manera responsable. Si encuentras una vulnerabilidad, te pagaremos por reportarla.
Reglas
Reglas básicas
- Prueba con cuidado: no interrumpas nuestros servicios ni uses herramientas de escaneo automatizado.
- Usa solo tu propia cuenta de prueba. Nunca intentes acceder a las cuentas de otros usuarios.
- Notifícanos de inmediato si obtienes acceso a nuestros sistemas internos.
- Mantén tus hallazgos confidenciales hasta que resolvamos el problema.
- Solo la primera persona en reportar una vulnerabilidad específica recibe la recompensa.
Alcance
Qué buscamos
Recompensamos descubrimientos que representen riesgos reales de seguridad. Las recompensas son mayores para problemas críticos:
- Acceso no autorizado a los datos de otros usuarios (simplemente confirmar la existencia de una cuenta no cuenta).
- Elusión de controles de seguridad de la API (ej., bypass de límite de tasa, bypass de autenticación).
- Vulnerabilidades de Cross-site scripting (XSS).
- Ejecución remota de código en nuestros servidores.
- Inyección SQL u otros ataques de inyección.
- Fallos en la autenticación o gestión de sesiones.
Solo recompensamos vulnerabilidades de seguridad que puedan dañar a los usuarios o sus datos, no errores cosméticos o funciones rotas.
Exclusiones
Qué no pagamos
- Ataques de denegación de servicio (DoS/DDoS) o intentos de fuerza bruta.
- Problemas de contenido mixto o configuración SSL.
- Ataques de ingeniería social o phishing.
- Vulnerabilidades teóricas sin una prueba de concepto funcional.
- Falta de encabezados de seguridad o configuraciones estándar de endurecimiento (ej., política de contraseñas, verificación de correo).
- Vulnerabilidades en servicios o dependencias de terceros fuera de nuestro control.
Recompensas
Cómo pagamos
Cuanto más crítica sea la vulnerabilidad, mayor será la recompensa. No hay un límite fijo. Si encuentras algo particularmente serio o ingenioso, te recompensaremos en consecuencia. Los montos se determinan según el impacto potencial de la vulnerabilidad. Los pagos se realizan en USD a través de PayPal una vez que la vulnerabilidad haya sido verificada y resuelta. Se aplican las tarifas estándar de PayPal.
Reporte
Cómo reportar
01
Enviar
Envía tu reporte en webapi.group/bug-bounty con una descripción detallada y prueba de concepto.
02
Revisión
Nuestro equipo de seguridad revisará tu reporte y responderá en un plazo de 7 días hábiles.
03
Resolución
Trabajamos en una solución. Podemos contactarte para obtener más detalles.
04
Recompensa
Una vez verificada y resuelta la vulnerabilidad, procesamos tu recompensa en USD a través de PayPal.
Reportar una vulnerabilidad
Los reportes de vulnerabilidades se envían en la página de recompensas por errores del grupo WebAPI. Ve a webapi.group/bug-bounty para presentar tu reporte con el mayor detalle posible, incluyendo pasos para reproducirla, evaluación de impacto y cualquier prueba de concepto.
¿Listo para empezar?
Tu API de web scraping está a un clic. Comienza con +500 créditos, sin infraestructura que configurar, sin proxies que gestionar y sin necesidad de tarjeta de crédito.
- +500 créditos
- Sin tarjeta de crédito
- Todos los endpoints incluidos