Bug Bounty

blackCEX.COM ®

Última actualización: 08 de mayo de 2024

Programas
>>Bug Bounty

El programa Bug Bounty de blackCEX.COM está diseñado para incentivar a investigadores de seguridad y entusiastas a identificar y reportar vulnerabilidades en nuestras plataformas y servicios. Valoramos la colaboración de la comunidad de seguridad para mantener nuestros sistemas seguros y proteger la información de nuestros usuarios.

TÉRMINOS DEL PROGRAMA

1. ALCANCE DEL PROGRAMA

El programa Bug Bounty cubre las siguientes plataformas y servicios de blackCEX.COM:

  • Sitio web principal: https://www.blackCEX.com y sus subdominios
  • Plataforma de clientes: https://app.blackCEX.com
  • API pública: https://api.blackCEX.com
  • Aplicaciones móviles: blackCEX para Android e iOS
  • Plataforma de corresponsales: https://partners.blackCEX.com

2. TIPOS DE VULNERABILIDADES

Estamos interesados en los siguientes tipos de vulnerabilidades:

Alta Prioridad

  • Inyección SQL
  • Ejecución remota de código
  • Autenticación bypass
  • Vulnerabilidades de servidor
  • Acceso no autorizado a datos sensibles

Media Prioridad

  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Vulnerabilidades de configuración
  • Problemas de lógica de negocio
  • Divulgación de información sensible

3. RECOMPENSAS

Las recompensas se determinan según la gravedad de la vulnerabilidad reportada:

Nivel de SeveridadDescripciónRecompensa
CríticoVulnerabilidades que permiten acceso completo al sistema, exposición masiva de datos o pérdida financiera significativa$5,000 - $10,000 USD
AltoVulnerabilidades que comprometen datos sensibles o permiten acceso no autorizado a funcionalidades importantes$1,000 - $5,000 USD
MedioVulnerabilidades que afectan la seguridad pero requieren condiciones específicas o interacción del usuario$300 - $1,000 USD
BajoVulnerabilidades con impacto limitado que no comprometen datos sensibles$100 - $300 USD
InformativoProblemas menores o mejores prácticas que no representan una vulnerabilidad inmediataReconocimiento

4. PROCESO DE REPORTE

  1. Envío del reporte: Enviar un informe detallado a security@blackCEX.com o a través de nuestro portal de seguridad en https://security.blackCEX.com.

  2. Confirmación: Recibirás una confirmación de recepción dentro de las 48 horas siguientes.

  3. Evaluación: Nuestro equipo de seguridad evaluará el reporte y determinará su validez y severidad.

  4. Resolución: Trabajaremos en la solución de la vulnerabilidad y te mantendremos informado del progreso.

  5. Recompensa: Una vez verificada y resuelta la vulnerabilidad, se procesará la recompensa correspondiente.

  6. Reconocimiento: Con tu consentimiento, incluiremos tu nombre en nuestro Hall of Fame.

5. REQUISITOS DEL REPORTE

Para que un reporte sea considerado válido, debe incluir:

  • Descripción detallada: Explicación clara de la vulnerabilidad y su impacto potencial.
  • Pasos para reproducir: Instrucciones paso a paso para reproducir el problema.
  • Evidencia: Capturas de pantalla, videos o código de prueba que demuestren la vulnerabilidad.
  • Impacto: Evaluación del posible impacto de la vulnerabilidad.
  • Sugerencias de mitigación: Si es posible, recomendaciones para solucionar el problema.

6. REGLAS Y RESTRICCIONES

Al participar en nuestro programa Bug Bounty, debes cumplir con las siguientes reglas:

  • No realizar pruebas que puedan afectar la disponibilidad o integridad de nuestros servicios (DoS/DDoS).
  • No acceder, modificar o eliminar datos de otros usuarios sin su consentimiento.
  • No divulgar públicamente la vulnerabilidad antes de que sea resuelta por nuestro equipo.
  • No utilizar herramientas automatizadas de escaneo intensivo sin autorización previa.
  • No explotar la vulnerabilidad más allá de lo necesario para demostrar su existencia.
  • Actuar de buena fe y respetar la privacidad y seguridad de nuestros usuarios.

7. HALL OF FAME

Los investigadores que reporten vulnerabilidades válidas serán reconocidos en nuestro Hall of Fame, visible en https://security.blackCEX.com/hall-of-fame, a menos que prefieran permanecer anónimos.

Para más información sobre nuestro programa Bug Bounty o para resolver dudas específicas, por favor contáctenos a través del correo electrónico: bugbounty@blackCEX.com

Actualización: 08/05/2024

Detalles sobre el programa de recompensas por vulnerabilidades

Más información

Guía Bug Bounty - ES

Descargar PDF

Guía Bug Bounty - EN

Descargar PDF