Twitter | Bug Bounty Program

El programa Bug Bounty de la plataforma Twitter se ha integrado con HackerOne. Como resultado, todas las presentaciones de Twitter Security Bug Bounty deben realizarse para su revisión a través del portal HackerOne.

Recompensas por vulnerabilidades de seguridad

Al investigar errores de seguridad, especialmente aquellos que pueden comprometer la privacidad de otros, debe utilizar cuentas de prueba para respetar la privacidad de los usuarios. Acceder a la información privada de otros usuarios, realizar acciones que puedan afectar negativamente a los usuarios de Twitter (por ejemplo, spam, denegación de servicio) o enviar informes desde herramientas automatizadas sin verificarlos descalificará inmediatamente el reporte, y se podrán tomar medidas adicionales.

La recompensa mínima es de $140 USD.

Por lo general, las recompensas se pagan los viernes.

La siguiente tabla muestra las recompensas habituales elegidas para los errores más comunes:

Categoría

Ejemplos

Core Twitter [1]

 Otros

Remote code execution

Command injection

$20,160

$10,080

Administrative functionality

Access to internal Twitter applications

$12,460

$6,300

Unrestricted access to data (filesystem, database, etc.)

XXE, SQLi

$12,460

$6,300

Flaws leaking PII or bypassing significant controls

IDOR, impersonation, sensitive actions by user

$7,700

$3,920

Account takeover

OAuth vulnerabilities

$7,700

$3,920

Perform activities on behalf of a user

XSS, Android Intent abuse

$2,940

$1,540

Other valid vulnerabilities

CSRF, clickjacking, information leakage

$280 - $2,940

$140 - $1,540

[1] Core Twitter se define como cualquiera de las categorías alojadas en *.twitter.com, *.pscp.tv, *.periscope.tv y clientes móviles propiedad y operados por Twitter.

Twitter puede optar por pagar recompensas más altas por vulnerabilidades inusualmente inteligentes o graves o recompensas más bajas por vulnerabilidades que requieren una interacción significativa o inusual del usuario.


Quedan dentro del alcance del programa:

  • *.twitter.com (dominio)
  • *.vine.co (dominio)
  • *.periscope.tv (dominio)
  • *.pscp.tv (dominio)
  • *.twimg.com (dominio)
  • gnip.com (dominio)
  • mopub.com (dominio)
  • com.twitter.android (Android: Play Store)
  • com.atebits.Tweetie2 (iOS: App Store)
  • niche.co (dominio)
  • snappytv.com (dominio)
  • twitterflightschool.com (dominio)

Están fuera del alcance del programa:

  • status.twitter.com (dominio)
  • Ataques que requieren acceso físico al dispositivo de un usuario
  • Cualquier ataque físico contra la propiedad o los centros de datos de Twitter
  • Formularios con ausencia de tokens CSRF (se requiere evidencia real de vulnerabilidad CSRF)
  • Logout CSRF
  • Cuentas y políticas de recuperación de contraseñas, como la expiración del enlace de restablecimiento o la complejidad de la contraseña
  • Registros SPF (Sender Policy Framework) inválidos o que faltan
  • Suplantación de contenidio o inyección de texto
  • Problemas relacionados con software o protocolos que no están bajo control de Twitter
  • Informes de spam (más información)
  • Vulnerabilidades que solo afectan a usuarios de navegadores y plataformas obsoletos o sin parches.
  • Ingeniería social del personal de Twitter
  • Problemas sin impacto en la seguridad, como el robo de clics en un sitio web estático, la falta de encabezados de seguridad o mensajes de error descriptivos

Si crees que tu cuenta se ha visto comprometida, ponte en contacto directamente con soporte de Twitter.