Saltar al contenido principal

Una publicación con la etiqueta "divulgación de vulnerabilidades"

Ver todas las etiquetas

Presentamos el Programa de Recompensas para Desarrolladores de Beancount

· Lectura de 4 minutos
Mike Thrift
Mike Thrift
Marketing Manager

¡Beancount.io se complace en anunciar el nuevo programa de recompensas para desarrolladores en nuestra comunidad! Un programa de recompensa por errores de seguridad es una oferta abierta a individuos externos para recibir compensación por reportar errores en beancount.io y Beancount mobile de código abierto relacionados con la seguridad de la funcionalidad principal.

Ninguna tecnología es perfecta, y creemos que trabajar con desarrolladores, ingenieros y tecnólogos de todo el mundo es crucial para identificar debilidades en nuestro proyecto mientras construimos. Si cree que ha encontrado un problema de seguridad en nuestro producto o servicio, le animamos a que nos lo notifique. Estaremos encantados de trabajar con usted para resolver el problema con prontitud.

Período de la Campaña

2020-10-13-security-bug-bounty

Del 15 de octubre de 2020 a las 17:00 PST al 30 de noviembre de 2020 a las 17:00 PST

Alcance

Los siguientes componentes de Beancount están incluidos en la 1ª Etapa de la Campaña de Recompensa por Errores:

  1. beancount.io/ledger : Su gestor de finanzas personales.
  2. Beancount mobile de código abierto

Pasos para participar y reportar errores

  • Si NO está relacionado con información de identificación personal (IIP) y datos exactos del libro mayor. Proporcione información sobre los errores a través de la solicitud de ISSUE de GitHub en https://github.com/puncsky/beancount-mobile/issues/:
    • Activo. Elija el repositorio al que está relacionado el error y cree una “Nueva Incidencia” en él.
    • Gravedad. Elija el nivel de vulnerabilidad según las “Vulnerabilidades Elegibles”.
    • Resumen — Añada un resumen del error.
    • Descripción — Cualquier detalle adicional sobre este error.
    • Pasos — Pasos para reproducir.
    • Material de Apoyo/Referencias — Código fuente para replicar, liste cualquier material adicional (por ejemplo, capturas de pantalla, registros, etc.).
    • Impacto — ¿Qué impacto tiene el error encontrado, qué podría lograr un atacante?
    • Su nombre, país e ID de Telegram para contacto.
  • Si está relacionado con IIP y datos exactos del libro mayor, contacte a puncsky en Telegram y envíe la información anterior.
  • El equipo de Beancount.io revisará todos los errores y le proporcionará comentarios lo más rápido posible a través de los comentarios en la página con un error específico o a través de Telegram en persona si está relacionado con IIP y datos exactos del libro mayor.
  • La distribución de las recompensas se realizará en Regalo Físico, Tarjeta de Regalo o equivalente en USDT una vez finalizada la campaña, alrededor del 1 de diciembre de 2020 PST.

Vulnerabilidades elegibles

Para calificar para la recompensa, el error de seguridad debe ser original y no haber sido reportado previamente.

Solo los siguientes problemas de diseño o implementación que afecten sustancialmente la estabilidad o seguridad de Beancount.io califican para la recompensa. Ejemplos comunes incluyen:

  • Fuga de IIP y datos del libro mayor mientras la máquina anfitriona no está comprometida.
  • Una acción especial que cause la suspensión o el bloqueo de todo el sitio web o la aplicación móvil.
  • Un usuario impacta a otro usuario sin una concesión de acceso previa.

Para escenarios que no se encuadran en una de las categorías anteriores, aún apreciamos los informes que nos ayudan a asegurar nuestra infraestructura y a nuestros usuarios, y recompensamos esos informes caso por caso.

Vulnerabilidades fuera de alcance

Al reportar vulnerabilidades, por favor considere el escenario de ataque, la explotabilidad y el impacto de seguridad del error. Los siguientes problemas se consideran fuera de alcance, y NO aceptaremos ninguno de los siguientes tipos de ataques:

  • Ataques de denegación de servicio.
  • Ataques de phishing.
  • Ataques de ingeniería social.
  • Descarga de archivos reflejada.
  • Divulgación de la versión del software.
  • Problemas que requieren acceso físico directo.
  • Problemas que requieren una interacción del usuario extremadamente improbable.
  • Fallos que afectan a navegadores y complementos desactualizados.
  • Paneles de inicio de sesión de acceso público.
  • Inyección CSV.
  • Enumeración de correos electrónicos / oráculos de cuentas.
  • Debilidades de CSP.
  • Suplantación de correo electrónico.
  • Técnicas que le permiten ver fotos de perfil de usuario (estas se consideran públicas).

Recompensas

El premio para el error más crítico que exponga IIP y datos del libro mayor es un AirPods Pro (en EE. UU.) o su equivalente en USDT.

El premio para un error de seguridad es una Tarjeta de Regalo de Amazon de $20 o su equivalente en USDT.

Somos un equipo pequeño con un presupuesto limitado y solo podemos distribuir:

  • 1 AirPods Pro para todos.
  • 10 recompensas de $20 por mes, hasta 3 meses. Si el caso real excede esa cantidad en ese mes, enviaremos la recompensa restante en el mes siguiente. ($600 en total para esta campaña).

¿Tiene preguntas?

Pregúntenos en https://t.me/beancount

Acerca de Beancount.io

Beancount.io es un potente sistema de contabilidad de doble entrada de código abierto en el que confían profesionales de las finanzas, desarrolladores y entusiastas de las finanzas personales por igual. Diseñado para la claridad, la extensibilidad y la precisión, Beancount ayuda a los usuarios a gestionar datos financieros complejos con contabilidad de texto plano, validación robusta e integraciones perfectas. Desde su creación, ha empoderado a los usuarios para obtener un control total sobre sus finanzas, automatizar informes y mantener registros transparentes y auditables, lo que lo convierte en un favorito entre aquellos que valoran la simplicidad sin compromisos.

Logo de Beancount.io