Programa de recompensas por encontrar fallos

Encuentra problemas de seguridad en Lumin y obtén una recompensa con nuestro programa de divulgación de vulnerabilidades.

Tabla de contenidos

  • Política

  • Recompensas

  • Reglas para informar

  • En el ámbito

  • Fuera del alcance

  • Lo que estamos buscando

  • Lo que no estamos buscando

  • Política
  • Recompensas
  • Reglas para informar
  • En el ámbito
  • Fuera del alcance
  • Lo que estamos buscando
  • Lo que no estamos buscando

Política

Las siguientes pautas le brindan una idea de lo que generalmente pagamos por diferentes clases de problemas de seguridad. Los problemas de baja calidad pueden recompensarse por debajo de estos niveles, así que asegúrese de que haya suficiente información para que podamos reproducir su problema e instrucciones paso a paso, incluido cómo reproducir su problema. Las capturas de pantalla también son útiles, pero asegúrese de no hacerlas públicas antes de enviarlas para seguir las reglas de nuestro programa.

Recompensas

Más críticoCríticoAltoMédioBaixo
600 USD - 1200 USD400 USD - 600 USD200 USD100 USD50 USD
Más críticoCrítico
600 USD - 1200 USD400 USD - 600 USD
AltoMédioBaixo
200 USD100 USD50 USD

Reglas para informar

  1. Informar una vulnerabilidad calificada que está dentro del alcance de nuestro programa (abajo).
  2. Sé la primera persona en informar sobre la vulnerabilidad.
  3. Sea razonable con los métodos de escaneo automático para no degradar los servicios.
  4. Abstenerse de revelar la vulnerabilidad hasta que la hayamos solucionado.
  5. NUNCA intente obtener acceso a la cuenta o los datos de un usuario real.
  6. No debes filtrar, manipular ni destruir ningún dato de usuario.
  7. No impacte a los usuarios con sus pruebas.

En el ámbito

  1. app.luminpdf.com
  2. luminpdf.com
  3. Versiones de aplicaciones Android e iOS
  4. sign.luminpdf.com

Fuera del alcance

  1. tools.luminpdf.com
  2. help.luminpdf.com

Lo que estamos buscando

  1. Cross-site scripting (XSS)
  2. Cross-site request forgery (CSRF)
  3. Insecure direct object reference (IDOR)
  4. Account takeovers
  5. SQL Injection
  6. Authentication flaws
  7. Remote code execution (RCE)
  8. Server-side request forgery (SSRF)
  9. XML ataques de entidades externas (XXE)
  10. Anything not listed but important

Lo que no estamos buscando

  1. Vulnerabilities requiring physical access to the victim's unlocked device
  2. Denial of Service attacks
  3. Brute Force attacks
  4. Spam or Social Engineering techniques
  5. Content Spoofing
  6. Best practices concerns
  7. Issues relating to Password Policy
  8. Issues relating to token lifetime
  9. User enumeration
  10. Full-Path Disclosure on any property
  11. CSRF-able actions that do not require authentication (or a session) to exploit
  12. Reports related to missing security headers
  13. CSV Injection
  14. Reverse Tabnabbing
  15. Bugs that do not represent any security risk
  16. Vulnerabilities that are limited to unsupported browsers

¿Cómo denunciar?

Envíe todos los informes de seguridad a [email protected]

Saber más sobre la seguridad de Lumin

Lumin tiene un sistema de seguridad sólido y moderno, centrado en soluciones personalizadas y cumplimiento de estándares de la industria.

Explorar centro de seguridad
Explore security