TILDA

Program Tilda Bug Bounty

Program nagród za luki techniczne Tilda

Nagradzamy badaczy bezpieczeństwa, którzy są w stanie odkryć luki w zabezpieczeniach Tildy oraz powiązanych modułów i mikrousług. W przypadku jakichkolwiek pytań niezwiązanych z tym programem, prosimy o kontakt z naszym zespołem pomocy technicznej pod adresem team@tilda.cc.

Jeśli wykryjesz błąd, napisz do naszego zespołu pomocy technicznej na adres tech@tilda.cc W wiadomości e-mail podaj szczegółowy opis błędu i podaj następujące informacje:

usługa lub moduł, w którym wykryto lukę;
rodzaj podatności;
zagrożenie, jakie stwarza;
jak można go odtworzyć;
sugestie, jak można to naprawić.

Niekwalifikujące się podatności

Raporty ze skanerów bezpieczeństwa i innych zautomatyzowanych systemów bez wyraźnego wykazania rzeczywistej podatności;
Raporty o ujawnieniu informacji niepoufnych, takich jak wersja produktu;
E-maile dotyczące luk w zabezpieczeniach na podstawie wersji produktu/protokołu, bez wyraźnego wykazania rzeczywistej luki;
Komunikaty o braku mechanizmu ochronnego bez wskazania rzeczywistych negatywnych konsekwencji;
Wszelkie dane uzyskane przy użyciu inżynierii społecznej;
SelfXSS.

Nagrody

Minimalna kwota nagrody wynosi 50 USD;
Kwota wypłaty zależy od tego, jak poważna jest wykryta luka: im poważniejszy błąd zostanie znaleziony, tym większa będzie nagroda;
Każdy przypadek jest rozpatrywany osobno, ale z reguły kwota wypłaty zależy od płatności za podobne luki w HackerOne.

Zasady zaangażowania

Nagroda za lukę w zabezpieczeniach jest wypłacana tylko pierwszemu badaczowi, który zgłosił lukę;
W przypadku wykorzystania wykrytych luk w zabezpieczeniach przeciwko użytkownikom Tilda nie jest wypłacana żadna kwota;
W programie mogą uczestniczyć wyłącznie osoby, które ukończyły 18 lat;
Zabronione jest ujawnianie lub publikowanie informacji o wykrytym błędzie w ciągu 90 dni od jego zgłoszenia;
Zabronione jest publikowanie kodu zawierającego lub opisującego luki w zabezpieczeniach publicznie dostępnych zasobów.