GitHub | Security Bug Bounty

El programa Bug Bounty de la plataforma de colaboración GitHub se ha integrado con HackerOne. Como resultado, todas las presentaciones de GitHub Security Bug Bounty deben realizarse para su revisión a través del portal HackerOne.

Los siguientes puntos no están permitidos y no son elegibles para una recompensa. Podemos suspender su cuenta de GitHub y banear su dirección IP:

  • Realizar denegación de servicio distribuida (DDoS) u otros ataques volumétricos.
  • Contenido de Spam.
  • Uso de escáneres, scrapers o cualquier otra herramienta automatizada a gran escala que producen cantidades excesivas de tráfico. Ejm. se permite ejecutar un escaneo nmap contra un host, pero es excesivo enviar 65.000 peticiones en dos minutos usando Burp Suite Intruder.

La investigación de ataques de denegación de servicio está permitida y es elegible para recompensas solo si cumple estas normas:

  • La investigación debe realizarse en organizaciones o repositorios de nuestra propiedad.
  • Deténgase de inmediato si cree que ha afectado la disponibilidad de nuestros servicios. No se preocupe por demostrar el impacto total de su vulnerabilidad, el equipo de seguridad de GitHub podrá determinar el impacto.
  • No hay límites para investigar vulnerabilidades de denegación de servicio contra su propia instancia de GitHub Enterprise Server

Al informar de vulnerabilidades, debe mantener toda la información en HackerOne. No publique información en sitios para compartir vídeos o pastebin. Los vídeos e imágenes se pueden subir directamente a través de HackerOne.

Los errores de gravedad media, alta y crítica se publicarán en el sitio de GitHub Bug Bounty y se incluirán en nuestra tabla de clasificación. Actualmente, no publicamos informes para vulnerabilidades de baja gravedad.

Recompensas por vulnerabilidades de seguridad

Crítico ($20,000 - $30,000+)

Los errores de gravedad crítica presentan un riesgo directo e inmediato para una amplia gama de nuestros usuarios o para el propio GitHub.

Ejemplos de errores:

  • Ejecución de código o comandos arbitrarios en un servidor GitHub de nuestra red de producción.
  • Consultas SQL arbitrarias en la base de datos de producción de GitHub.
  • Bypass en el proceso de Login de GitHub ya sea de contraseña o doble factor de autenticación (2FA).
  • Acceso a datos confidenciales del usuario de producción o acceso a sistemas de producción internos.
  • Acceso a los datos de otro usuario en el servicio GitHub Actions.

El límite superior para vulnerabilidades críticas de $30,000 es solo orientativo y GitHub puede asignar cantidades más altas por informes excepcionales.

Alto ($10,000 - $20,000)

Los errores de alta gravedad permiten a un atacante leer o modificar datos altamente confidenciales a los que no está autorizado a acceder.

Ejemplos:

  • Inyección de código (XSS) en GitHub.com que omite CSP.
  • Bypass de lógica de autorización para otorgar a un colaborador de repositorio más acceso del previsto.
  • Descubrir datos confidenciales de usuarios o GitHub en un recurso expuesto públicamente como un S3 bucket.
  • Obtener acceso a un recurso no crítico solo autorizado a los empleados de GitHub.
  • Usar el token de GitHub Actions para acceder a contenido privado de alto riesgo fuera de ese repositorio.
  • Ejecución de código en una app de escritorio que no requiere interacción del usuario.

Moderado ($4,000 - $10,000)

Los errores de gravedad media permiten a un atacante leer o modificar cantidades limitadas de datos a los que no está autorizado a acceder. Generalmente el acceso a la información es menos confidencial que los errores de alta gravedad.

Ejemplos:

  • Revelar el título de los issues en repositorios privados que deberían ser inaccesibles.
  • Inyectar código en GitHub.com (XSS) pero sin omitir CSP o ejecutar acciones sensibles con la sesión de otro usuario.
  • Bypass de validación CSRF para acciones de bajo riesgo, como darse de baja de una lista de correo.

Bajo ($617 - $2,000)

Los errores de baja gravedad permiten a un atacante acceder a cantidades extremadamente limitadas de datos pero no la escalada de privilegios o la capacidad de desencadenar un comportamiento involuntario.

Ejemplos:

  • Registro de usuarios arbitrarios con acceso a "early access feature" sin su consentimiento.
  • Creación de un comentario issue que omite nuestro filtro de representación de imagen al proporcionar una URL con formato incorrecto.
  • Bypass de facturación y restricciones del plan para obtener acceso a las funciones de pago.
  • Acceso a páginas de error detalladas o de depuración sin explotación u obtener información confidencial.
  • Provocar excepciones de aplicación que podrían afectar a muchos usuarios de GitHub.


Dominios elegibles para recibir recompensas

github.com, nuestro dominio principal que aloja servicios GitHub orientados al usuario.

Todos los subdominios bajo github.com están dentro del alcance, excepto:

  • blog.github.com
  • community.github.com
  • email.enterprise.github.com
  • email.finance.github.com
  • email.staging.finance.github.com
  • email.support.github.com
  • email.verify.github.com
  • google7650dcf6146f04d8.github.com
  • k1._domainkey.github.com
  • k1._domainkey.mcmail.github.com
  • mcmail.github.com
  • resources.github.com
  • *.resources.github.com
  • sgmail.github.com
  • *.sgmail.github.com
  • shop.github.com
  • smtp.github.com
  • *.smtp.github.com
  • support.github.com

Todos los subdominios bajo githubassets.com, githubusercontent.com y github.net están dentro del alcance.

Todos los subdominios bajo githubapp.com están dentro del alcance, excepto:

  • atom-io.githubapp.com
  • atom-io-staging.githubapp.com
  • email.enterprise-staging.githubapp.com
  • email.haystack.githubapp.com
  • reply.githubapp.com


Documentación y posibles áreas de investigación

Si tienes alguna duda puedes ponerte en contacto a través de la dirección de email bounty@github.com