Охота за ошибками

Если вы нашли баг или уязвимость на TradingView, расскажите об этом через HackerOne и получите вознаграждение.

Как участвовать

Мы начисляем вознаграждение, если вы нашли уязвимость в наших сервисах, приложениях или инфраструктуре. Все их виды перечислили ниже.

TradingView.com и все поддомены

IOS-приложение

Android-приложение

Графики TradingView для сайтов

TradingView Desktop

Виды вознаграждений

Размер вознаграждения будет зависеть от того, какую уязвимость вы нашли и насколько сильно она влияет на безопасность.

Максимальное

Если уязвимость влияет на работу всей платформы

Удалённое выполнение кода (RCE)
Получение административного доступа
Инъекционные атаки с существенным влиянием на платформу
Неограниченный доступ к локальным файлам или базам данных
Подделка запросов на стороне сервера (SSRF)
Раскрытие особо важной информации

Большое

Если уязвимость не требует взаимодействия с пользователями и при этом затрагивает большую аудиторию

Хранимый межсайтовый скриптинг (stored XSS) с существенным влиянием на платформу
Обход аутентификации, который меняет данные пользователей или предоставляет доступ к конфиденциальной информации
Небезопасные прямые ссылки на объекты (IDOR)
Захват поддомена

Обычное

Если уязвимость требует взаимодействия с пользователями или затрагивает небольшую аудиторию

Межсайтовый скриптинг (XSS), кроме self-XSS
Межсайтовая подделка запроса (CSRF)
Перенаправление URL
Манипулирование репутацией пользователей

Сумма вознаграждения зависит от каждого конкретного случая. На неё влияют серьёзность и уникальность уязвимости, а также возможность её использования. Кроме того, важны её окружение и другие факторы, влияющие на безопасность.

Нахождение уязвимостей во вспомогательных сервисах, например в нашем блоге, и в непроизводственном окружении ('beta', 'staging', 'demo' и так далее) награждается только, если это влияет на TradingView в целом или может привести к утечке важных пользовательских данных.

Правила

Добавьте в отчёт об ошибке подробное описание обнаруженной уязвимости. Напишите, какие действия предпринять, чтобы её воспроизвести. Если вы не сделаете этого, нам может потребоваться слишком много времени, чтобы всё проверить — в таком случае мы можем отклонить отчёт.
В одном отчёте описывайте только одну уязвимость. Исключение — ситуации, когда вы хотите объединить несколько уязвимостей, чтобы показать, как они работают вместе.
Вознаграждение получит только тот, кто первым сообщит о неизвестной уязвимости. Если мы получим несколько сообщений об одной и той же проблеме, мы наградим первого пользователя, который детально её описал.
Не используйте автоматизированные средства и сканеры для поиска уязвимостей. Такие отчёты мы не рассматриваем.
Не совершайте атаки, которые могут нанести ущерб нашим сервисам или данным клиентов. DDoS-атаки, спам и метод грубой силы (brute force) запрещены.
Не вовлекайте в тестирование уязвимостей других пользователей без их явного согласия. Создавайте приватные идеи, скрипты и другой контент, если собираетесь проверить какую-то теорию.
Не используйте социальную инженерию, фишинг и физическое воздействие против наших сотрудников, пользователей или инфраструктуры.
Отправляйте подробные отчёты, в которых можно увидеть все этапы проблемы. Без этого вы не получите вознаграждение.
Если вы нашли несколько уязвимостей, вызванных одной основной проблемой, вы получите вознаграждение один раз.
Не распространяйте и не уничтожайте конфиденциальные данные, а также не пытайтесь прервать или ухудшить работу наших сервисов.

Какие уязвимости нам не подходят

Виды ошибок, за которые мы не начисляем вознаграждение

Уязвимость находится в пользовательском программном обеспечении, или воспроизвести её можно только с полным доступом к ПО пользователя, его учётной записи, электронной почте, телефону и так далее.
Уязвимость или ошибка находятся в сторонних службах.
Уязвимость или старая версия стороннего ПО или протоколов приводит к неидеальной работе сервисов, но не создаёт проблем для безопасности.
Уязвимость не оказывает серьёзного влияния на безопасность или её нельзя использовать.
Уязвимость требует от пользователя выполнения необычных действий.
Уязвимость раскрывает общедоступную или несекретную информацию.
Уязвимость связана с омографическими атаками.
Уязвимость требует рутирования, взлома или модифицикаций устройств и приложений.
Уязвимость, присланная пользователем, действия которого могли привести к нарушению работы нашего сервиса.

Примеры уязвимостей, за нахождение которых не получить вознаграждение

Данные геолокации EXIF не удалены.
Кликджекинг на страницах, не содержащих чувствительных действий.
Межсайтовая подделка запросов (CSRF) на неаутентифицированных формах или формах без чувствительных действий, CSRF при выходе из системы.
Слабые шифры или конфигурация TLS без работающего механизма Proof of Concept.
Подмена контента (спуфинг) или внедрение кода без демонстрации вектора атаки.
Ограничение скорости и атаки методом подбора (brute force) на неаутентифицированных конечных точках.
Отсутствие настроек HttpOnly или Secure в файлах cookie.
Раскрытие версии программного обеспечения. Проблемы идентификации баннера. Описательные сообщения об ошибках и заголовки: например, трассировка стека, ошибки приложения или сервера.
Обнаружение публичных уязвимостей нулевого дня, официальные патчи для которых мы выпустили меньше месяца назад, будет вознаграждаться в индивидуальном порядке.
Tabnabbing — создание фейковой копии популярного сайта, которая убеждает пользователя предоставить свои данные.
Атаки перечислением имён пользователей, электронных почт и номеров телефона.
Отсутствие ограничений на сложность пароля.