ISCRIVERSI
TILDA

Programma Bug Bounty di Tilda

Programma di ricompensa per le vulnerabilità tecniche di Tilda
~
Premiamo i ricercatori di sicurezza che sono in grado di scoprire vulnerabilità in Tilda e nei relativi moduli e microservizi. Per qualsiasi domanda non correlata a questo programma, inviate un'e-mail al nostro team di supporto all'indirizzo team@tilda.cc.
Se scoprite un bug, inviate un'e-mail al nostro team di assistenza tecnica all'indirizzo tech@tilda.cc Nell'e-mail, fornite una descrizione dettagliata del bug e fornite le seguenti informazioni:

  • il servizio o il modulo in cui è stata scoperta la vulnerabilità;
  • tipo di vulnerabilità;
  • la minaccia che rappresenta;
  • come può essere riprodotto;
  • i vostri suggerimenti su come risolvere il problema.
Vulnerabilità non qualificanti
  • Segnalazioni provenienti da scanner di sicurezza e altri sistemi automatici senza una chiara dimostrazione della vulnerabilità effettiva;
  • Rapporti sulla divulgazione di informazioni non riservate, come la versione del prodotto;
  • Email sulla vulnerabilità basate sulle versioni di prodotto/protocollo, senza una chiara dimostrazione della vulnerabilità effettiva;
  • Messaggi sull'assenza di un meccanismo di protezione senza l'indicazione di effettive conseguenze negative;
  • Qualsiasi dato ottenuto con l'uso dell'ingegneria sociale;
  • SelfXSS.
Premi
  • L'importo minimo della taglia è di 50 dollari;
  • L'importo del pagamento dipende dalla gravità della vulnerabilità scoperta: più grave è l'errore trovato, maggiore sarà la ricompensa;
  • Ogni caso viene considerato separatamente, ma di norma l'importo del pagamento dipende dai pagamenti per vulnerabilità simili su HackerOne.
Regole di ingaggio
  • La ricompensa per la vulnerabilità viene corrisposta solo al primo ricercatore che ha segnalato la vulnerabilità;
  • Non è previsto alcun pagamento se si utilizzano le vulnerabilità scoperte contro gli utenti di Tilda;
  • Solo le persone che hanno compiuto 18 anni possono partecipare al programma;
  • È vietato divulgare o pubblicare informazioni su un bug scoperto entro 90 giorni dalla segnalazione;
  • È vietato pubblicare un codice che contenga o descriva la vulnerabilità di risorse disponibili al pubblico.
Realizzato su
Tilda