Bitdefender | Bug Bounty Program

El programa Bug Bounty de la plataforma Bitdefender se ha integrado con BugCrowd. Como resultado, todas las presentaciones de Bitdefender Bug Bounty Program deben realizarse para su revisión a través del portal Bugcrowd.

Alentamos a los investigadores de seguridad a identificar y presentar informes de vulnerabilidad de prácticamente todo lo que lleva el alcance de Bitdefender, incluidos, entre otros, el sitio web, los productos y los servicios.

Bitdefender se basará en la "Bugcrowd Vulnerability Rating Taxonomy" para priorizar las vulnerabilidades, pero se reserva el derecho de actualizar la gravedad de los informes bajo su criterio.


Dentro del alcance del Programa

Target

Tipo

*.bitdefender.com

Website

*.bitdefender.net

Website

Bitdefender Total Security 2019

Otro

Bitdefender GravityZone Business Security

Otro


Información del Objetivo

  • Para pruebas de autenticación, utilice su dirección @bugcrowdninja o un correo electrónico que le identifique de forma clara como investigador.
  • No se proporcionarán pagos o códigos promocionales para fines de prueba.
  • Abstenerse de realizar pruebas contra formularios de contacto o inputs que podrían generar una gran cantidad de spam.
  • Los escaneos automatizados están estrictamente prohibidos y tampoco está permitido el phishing.


No califican para recompensa:

  • Self XSS.
  • Mensajes de error descriptivos (ejm. stack traces, errores de aplicación o servidor, revelación de path).
  • Una mala configuración o falta de registros SPF.
  • Software desactualizado.
  • Content Spoofing.
  • No se aceptarán vulnerabilidades que se limitan a navegadores no compatibles. El exploit debe funcionar al menos en IE 8.
  • Fichero .htaccess descargable sin una configuración de seguridad real que puede tener un impacto en la seguridad.
  • Página de inicio de sesión o uno de nuestros sitios web a través de HTTP.
  • Contraseña no aplicada a cuentas de usuario.
  • Clickjacking y errores explotables sólo mediante clickjacking.
  • Vulnerabilidades en el código fuente de nuestros partners sobre el que no tenemos ningún control para aportar una solución. Estas vulnerabilidades se deben informar directamente al host de terceros (por ejemplo, Hubspot).
  • Ausencia de directivas Secure y HTTPOnly en la gestión de cookies.
  • Nombre de usuario/enumeración de correo electrónico.
  • Errores de CORS (Cross Origin Resource Sharing) sin una PoC (Proof of Concept o Prueba de Concepto) que funcione.

Bitdefender considera los siguientes errores como FAD o Riesgos aceptados:

  • https://store.bitdefender.com/affiliate.php?ACCOUNT=BTDLLC&AFFILIATE=30907&PATH=https://google.com
    El parámetro Path permite Open Redirects.
  • https://store.bitdefender.com/order/checkout.php?SHOPURL=http://test.com
    El parámetro SHOPURL permite a un proveedor vincular un sitio web diferente al definido en su cuenta. Ésta es la funcionalidad esperada, además, somos conscientes de que este parámetro es vulnerable a XSS.
  • Fuerza bruta: sin captcha o limitación de velocidad (rate limiting).
    Recibimos muchos informes sobre ataques de fuerza bruta, no consideramos que esto sea elegible, pero podemos dar a los investigadores 5 puntos de reconocimiento por envíos válidos que tengan algún impacto (por ejemplo, enviar spam a los usuarios desde nuestra dirección de correo electrónico porque no hay limitación de velocidad)
  • El servicio que aloja connect.bitdefender.com permite que el contenido de otras páginas web de la compañía se incluya en la página connect.bitdefender.com cambiando el parámetro 'ri'
    No recompensaremos este tipo de vulnerabilidad.
  • Vulnerabilidades CSRF que no tienen impacto en la seguridad. Premiamos a los investigadores solo con puntos de reconocimiento. Ejemplo: CSRF en un sistema de votación o CSRF en notificaciones, etc.
  • Cualquier vulnerabilidad de adquisición de un subdominio en los subdominios de Bitdefender alojados por Edgecast Networks (por ejemplo, content-down.bitdefender.com).
  • Vulnerabilidades de Wordpress que acaban de publicarse y nuestro equipo aún no las ha parcheado o el PoC no tiene un exploit funcional de la vulnerabilidad.
  • Cuentas permitidas con mutaciones ignoradas de correo electrónico: Gmail considera test@gmail.com y te.st@gmail.com como la misma cuenta.
  • Contraseña no aplicada a cuentas de usuario.
  • Vulnerabilidades de tipo Hyperlink Injection. Ejemplo: www.evil.com como name/nickname, etc.
  • ACCOUNT TAKEOVER vía Facebook Auth, Google Auth, Twitter Auth, etc en central.bitdefender.com y my.bitdefender.com.
  • ACCOUNT ACTIVATION que no funciona en central.bitdefender.com y my.bitdefender.com. Incluso si la cuenta se encuentra en estado inactivo, tiene el mismo comportamiento que una activa, por lo que no recompensamos los informes relacionados con la activación de la cuenta.
  • DLL hijacking y la explotación de comunicaciones Inter-Process solo recibirán puntos de prestigio o reconocimiento.
  • AV bypass será recompensado solo si describe un método para bypasear los motores que realmente funcionarían de forma remota. Si los motores simplemente no detectan una muestra, no calificará para una recompensa, pero puede recibir puntos de reconocimiento, ya que nos gustaría enviarla al laboratorio para su análisis.
  • Los errores de tipo CORS no son válidos sin una PoC que funcione, CORS en Gravityzone es FAD.
  • Archivos SWF vulnerables en www.bitdefender.com y download.bitdefender.com.
  • Email spoofing (incluidos SPF, DKIM, From: spoofing, y errores relacionados).

Recompensas

Pagamos recompensas que van desde $100 a $5,000.

Las recompensas se fijan de acuerdo con los siguientes criterios de gravedad:

  • p1 Crítico: $3,100 - $5,000
  • p2 Alto: $1,000 - $3,000
  • p3 Moderado: $200 - $500
  • p4 Bajo: $100 - $200