Segurança
Programa de Recompensas por Bugs. Encontre vulnerabilidades, seja recompensado.
Ajude-nos a melhorar nossa segurança e ganhe recompensas. Convidamos pesquisadores de segurança para testar nossos sistemas de forma responsável. Se encontrar uma vulnerabilidade, pagaremos pela sua divulgação.
Regras
Regras básicas
- Teste com cuidado: não interrompa nossos serviços ou use ferramentas de varredura automatizadas.
- Use apenas sua própria conta de teste. Nunca tente acessar contas de outros usuários.
- Notifique-nos imediatamente se obtiver acesso aos nossos sistemas internos.
- Mantenha suas descobertas confidenciais até resolvermos o problema.
- Apenas a primeira pessoa a reportar uma vulnerabilidade específica recebe a recompensa.
Escopo
O que procuramos
Recompensamos descobertas que representam riscos reais de segurança. Recompensas são maiores para problemas críticos:
- Acesso não autorizado a dados de outros usuários (simplesmente confirmar a existência de uma conta não conta).
- Contornar controles de segurança da API (ex.: bypass de rate-limit, bypass de autenticação).
- Vulnerabilidades de Cross-site scripting (XSS).
- Execução remota de código em nossos servidores.
- Injeção de SQL ou outros ataques de injeção.
- Falhas de autenticação ou gerenciamento de sessão.
Recompensamos apenas vulnerabilidades de segurança que possam prejudicar usuários ou seus dados, não bugs cosméticos ou funcionalidades quebradas.
Exclusões
O que não pagamos
- Ataques de negação de serviço (DoS/DDoS) ou tentativas de força bruta.
- Problemas de conteúdo misto ou configurações SSL.
- Ataques de engenharia social ou phishing.
- Vulnerabilidades teóricas sem uma prova de conceito funcional.
- Cabeçalhos de segurança ausentes ou configurações padrão de hardening (ex.: política de senhas, verificação de e-mail).
- Vulnerabilidades em serviços ou dependências de terceiros fora do nosso controle.
Recompensas
Como pagamos
Quanto mais crítica for a vulnerabilidade, maior será a recompensa. Não há um limite fixo. Se encontrar algo particularmente sério ou engenhoso, recompensaremos de acordo. Os valores são determinados com base no impacto potencial da vulnerabilidade. Os pagamentos são feitos em USD via PayPal após a vulnerabilidade ser verificada e resolvida. Taxas padrão do PayPal se aplicam.
Relatório
Como reportar
01
Enviar
Envie seu relatório em webapi.group/bug-bounty com uma descrição detalhada e prova de conceito.
02
Revisão
Nossa equipe de segurança revisará seu relatório e responderá em até 7 dias úteis.
03
Resolução
Trabalhamos em uma correção. Podemos entrar em contato para obter mais detalhes.
04
Recompensa
Assim que a vulnerabilidade for verificada e resolvida, processamos sua recompensa em USD via PayPal.
Reportar uma vulnerabilidade
Os relatórios de vulnerabilidades são enviados na página de bug bounty do WebAPI Group. Acesse webapi.group/bug-bounty para registrar seu relatório com o máximo de detalhes possível, incluindo etapas de reprodução, avaliação de impacto e qualquer prova de conceito.
Pronto para começar?
Sua API de web scraping está a um clique. Comece com +500 créditos, sem infraestrutura para configurar, sem proxies para gerenciar e sem cartão de crédito necessário.
- +500 créditos
- Sem cartão de crédito
- Todos os endpoints incluídos