Programa de recompensas por encontrar fallos
Encuentra problemas de seguridad en Lumin y obtén una recompensa con nuestro programa de divulgación de vulnerabilidades.
Tabla de contenidos
Política
Recompensas
Reglas para informar
En el ámbito
Fuera del alcance
Lo que estamos buscando
Lo que no estamos buscando
- Política
- Recompensas
- Reglas para informar
- En el ámbito
- Fuera del alcance
- Lo que estamos buscando
- Lo que no estamos buscando
Política
Las siguientes pautas le brindan una idea de lo que generalmente pagamos por diferentes clases de problemas de seguridad. Los problemas de baja calidad pueden recompensarse por debajo de estos niveles, así que asegúrese de que haya suficiente información para que podamos reproducir su problema e instrucciones paso a paso, incluido cómo reproducir su problema. Las capturas de pantalla también son útiles, pero asegúrese de no hacerlas públicas antes de enviarlas para seguir las reglas de nuestro programa.
Recompensas
| Vulnerabilidad de seguridad | Bloqueo/ANR móvil | ||||
|---|---|---|---|---|---|
| Más crítico | Crítico | Alto | Médio | Baixo | |
| 600 USD - 1200 USD | 400 USD - 600 USD | 200 USD | 100 USD | 50 USD | 500 USD |
| Vulnerabilidad de seguridad | |
|---|---|
| Más crítico | Crítico |
| 600 USD - 1200 USD | 400 USD - 600 USD |
| Alto | Médio | Baixo |
|---|---|---|
| 200 USD | 100 USD | 50 USD |
| Bloqueo/ANR móvil |
|---|
| 500 USD |
Reglas para informar
- Informar una vulnerabilidad calificada que está dentro del alcance de nuestro programa (abajo).
- Sé la primera persona en informar sobre la vulnerabilidad.
- Sea razonable con los métodos de escaneo automático para no degradar los servicios.
- Abstenerse de revelar la vulnerabilidad hasta que la hayamos solucionado.
- NUNCA intente obtener acceso a la cuenta o los datos de un usuario real.
- No debes filtrar, manipular ni destruir ningún dato de usuario.
- No impacte a los usuarios con sus pruebas.
En el ámbito
- app.luminpdf.com
- luminpdf.com
- Versiones de aplicaciones Android e iOS
- sign.luminpdf.com
Fuera del alcance
Lo que estamos buscando
- Cross-site scripting (XSS)
- Cross-site request forgery (CSRF)
- Insecure direct object reference (IDOR)
- Account takeovers
- SQL Injection
- Authentication flaws
- Remote code execution (RCE)
- Server-side request forgery (SSRF)
- XML ataques de entidades externas (XXE)
- Anything not listed but important
Lo que no estamos buscando
- Vulnerabilities requiring physical access to the victim's unlocked device
- Denial of Service attacks
- Brute Force attacks
- Spam or Social Engineering techniques
- Content Spoofing
- Best practices concerns
- Issues relating to Password Policy
- Issues relating to token lifetime
- User enumeration
- Full-Path Disclosure on any property
- CSRF-able actions that do not require authentication (or a session) to exploit
- Reports related to missing security headers
- CSV Injection
- Reverse Tabnabbing
- Bugs that do not represent any security risk
- Vulnerabilities that are limited to unsupported browsers
¿Cómo denunciar?
Envíe todos los informes de seguridad a [email protected]
Saber más sobre la seguridad de Lumin
Lumin tiene un sistema de seguridad sólido y moderno, centrado en soluciones personalizadas y cumplimiento de estándares de la industria.
Explorar centro de seguridad