Leia atentamente nossa política porque ela esclarece quais tipos de problemas de segurança podem ser recompensados. Apenas relatórios enviados através de nosso formulário de contato (que pode ser acessado pelo botão na parte inferior desta página) serão considerados para a recompensa.
Na Doist, nosso programa de recompensa por erros é um componente essencial de nossos esforços de segurança. Se você encontrou um problema de segurança sobre o qual deveríamos ser informados, adoraríamos trabalhar com você. Seus esforços podem valer uma recompensa financeira.
Elegibilidade
- Você precisa ser o/a primeiro(a) a relatar o problema para ser elegível para receber a recompensa.
- Você precisa ter disponibilidade para fornecer informações adicionais, conforme a necessidade de nossa equipe, para reproduzir e cuidar do problema.
Regras do programa
- Siga as diretrizes de divulgação da HackerOne.
- Exclua quaisquer dados de teste ou contas criadas como parte da pesquisa.
- Não confronte ou interaja com usuários.
- Não faça uso de dados roubados de usuários, incluindo credenciais.
- Não se varreduras ou testes automatizados, incluindo DoS attack.
- Não use ataques de engenharia social, como phishing.
- Não faça testes físicos de funcionários da Doist ou de seus equipamentos.
Alvos elegíveis
- www.todoist.com
- www.twist.com
- Versões atuais do Todoist e do Twist para Windows, macOS, Linux, iOS e Android.
- Para propósitos de teste, use todoistbounty@protonmail.com como conta a ser vitimada.
Enviando seu relatório
- Envie um relatório detalhado incluindo passos claramente reprodutíveis, o impacto em nossos produtos e/ou usuários e contas de teste utilizadas, além de dados de testes.
- Informe sobre vulnerabilidades independentes separadamente.
- Dê ao seu relatório um título claro que descreve a vulnerabilidade.
- As informações enviadas devem incluir instruções escritas para a reprodução da vulnerabilidade. Qualquer relatório sem os passos claros de reprodução ou que incluam apenas um vídeo podem não ser elegíveis para a recompensa.
Recompensas
Você pode se tornar elegível para receber uma recompensa financeira se:- For a primeira pessoa a enviar a vulnerabilidade de um produto
- A vulnerabilidade for considerada um problema válido de segurança por nossa equipe
- Você cumpriu todas as regras do programa
Os valores das recompensas serão determinados por nossa equipe, que irá avaliar cada relatório e atribuir um nível de gravidade que determina o valor da recompensa. Os níveis de gravidade são decididos internamente com base no tipo de vulnerabilidade e impacto potencial. Abaixo você encontra uma visão geral de amostras de cada nível de gravidade:
- Problemas não relacionados à segurança, como códigos de resposta não 200 HTTP, erros em aplicativos ou servidores, etc.
- Problemas sem um claro impacto de segurança, como CSRF desconectado, ausência de cabeçalhos de segurança HTTP, problemas de SSL ou o clickjacking em páginas sem ações sensíveis
- Problemas afetando aplicativos ou componentes desatualizados, que não estão mais em uso ou que não são mais mantidos
- Problemas afetando fornecedores externos, como aplicativos ou serviços que usamos (por ex. Firebase, ZenDesk)
- Problemas envolvendo técnicas de spam ou de engenharia social, como SPF e DKIM e falta de DNSSEC
- Problemas envolvendo divulgação de informações de servidores, nomeadamente cabeçalhos de resposta `X-Powered-by` e `Servidor`. Podem existir exceções sempre que informações divulgadas contenham uma versão do servidor com divulgação associada CVE.
- Problemas envolvendo falsificação de solicitação do servidor (SSRF) em serviços que desempenhem pedidos por design, a menos que provado que informações sigilosas possam vazar.
- Erros que necessitam de interação pouco comum do usuário (por ex., tomada de conta através de login SSO)
- Relatórios que requerem acesso privilegiado dos dispositivos do alvo ou que estão fora de seu controle. Isso inclui mas não está limitado a: acesso aos cookies do navegador e/ou outros tokens usados para personificar o usuário, acessar o e-mail do usuário, etc.
- Problemas de clickjacking que ocorrem em páginas pré-autenticadas ou a ausência de `X-Frame-Options` ou quaisquer outros problemas de clickjacking não exploráveis.
- Problemas de Cross-OriginResourceSharing (CORS), nos quais o servidor NÃO responde com o cabeçalho `Access-Control-Allow-Credentials: true`.
- Ausência de limites de taxa, a menos que possa levar à exploração de vulnerabilidade.
- Enumeração de e-mail de usuário nas páginas de inscrição, login e senha esquecida.
- Arquivos disponíveis em URLs com caminho começando com `/.well-known` (também conhecido como URLs bem conhecidas).
- Ignorar 2FA com a redefinição de senha
- Específico para aplicativos de clientes
- Dados de usuários armazenados sem criptografia
- Falta de ofuscação
- Exploração de tempo de execução que envolve manipulação de código de execução ou seu ambiente
- Redirecionamentos abertos
- Má configuração do servidor ou erros de provisão
- Vazamento ou exposição de informações excluindo dados privados de usuários
- Problemas de Cross-OriginResourceSharing (CORS), nos quais o servidor NÃO responde com o cabeçalho `Access-Control-Allow-Credentials: true` a um pedido externo com cabeçalho `Origin` (por ex. `*.todoist.com`, `*.twist.com`).
- XSS refletido
- Problemas com conteúdo misto, se a URL alvo não responder com 'Strict-Transport-Security' (conhecida como o cabeçalho HSTS). O risco ainda existe mas é limitado a uma única interação por domínio/subdomínio (dependendo do valor HSTS). Em 2021, navegadores fizeram a transição para um HTTPS padrão, mitigando o problema.
- Outros problemas de baixa gravidade
- CSRF / XSRF
- SSRF para um serviço interno
- XSS armazenado
- Outros problemas de média gravidade
- Vazamento ou exposição de informações incluindo dados privados de usuários
- Outros problemas de alta gravidade
- Injeção SQL
- Execução de código remoto
- Escalonamento de privilégios
- Autenticação quebrada
- SSRF para um serviço interno, resultando em risco de segurança crítico
- Outros problemas de gravidade crítica
| Aplicativo | Nenhum | Baixo | Médio | Alto | Crítico |
|---|---|---|---|---|---|
| Todoist | $0 | $100 | $200 | $500 | $1000 |
| Twist | $0 | $50 | $100 | $250 | $500 |
As vulnerabilidades em nosso(s) aplicativo(s) Android podem qualificar-se para recompensas extras através do Programa de Recompensas de Segurança do Google Play.
Todas as recompensas são pagas via PayPal.
A equipe da Doist retém o direito de determinar se uma vulnerabilidade enviada é elegível.
Todas as determinações sobre o valor de recompensas feitas pela equipe de Recompensa por Erros da Doist são finais.