始めましょう

バグバウンティ・プログラム

当社プラットフォームで脆弱性を発見されましたか?ぜひお知らせください。

プログラムについて

当社プラットフォームの改善にご協力いただくことで報酬を獲得できます。レポート対象は、サービス、インフラ、アプリケーションにおけるセキュリティ脆弱性です。

ウェブサイト

TradingView.com およびそのサブドメインに関する問題。

モバイルアプリ

iOS/Androidプラットフォーム上の問題

チャートソリューション 

ツール、ウィジェット、APIのエラー

デスクトップアプリ

デスクトップアプリでのパフォーマンスの問題またはバグ

報酬レベル

報告する脆弱性の種類と、全体的なセキュリティへの影響に応じて報酬が決まります。

  • 管理者権限のアクセスやリモートコード実行 (RCE)
  • 重大な影響を及ぼすインジェクション脆弱性
  • ローカルファイルやデータベースへの無制限アクセス
  • ユーザーデータの変更やプライベートデータへのアクセスを可能にする認証バイパス
  • サブドメインの乗っ取り
  • 金銭的影響を及ぼす論理的欠陥(例: サブスクリプションの無料入手)
  • セルフXSSを除く、クロスサイトスクリプティング (XSS)
  • クロスサイトリクエストフォージェリ (CSRF)
  • ユーザー評価の不正操作
  • 影響の少ないインジェクション脆弱性
  • ユーザー制限の回避

報酬額は変動する可能性があります。実際の報酬は、バグの深刻度、真正性、悪用の可能性、および環境やその他セキュリティに影響する要因に応じて変更される場合があります。

ブログなどの補助的サービスの脆弱性や「ベータ」、「ステージング」、「デモ」などの本番環境以外の脆弱性は、当社のサービス全体に影響を与える場合、または機密性の高いユーザーデータの漏洩を引き起こす可能性がある場合でのみ報酬の対象となります。

規約

  1. バグレポートには、発見された脆弱性の詳細な説明と、それを再現するために必要な手順、または動作のPoCを含める必要があります。脆弱性の詳細が説明されていない場合、レポートの確認に時間を要するか、レポートが拒否される可能性があります。
  2. 影響を及ぼす為に脆弱性を連鎖させる必要がある場合を除き、1つのレポートにつき1つの脆弱性を提出してください。
  3. 未知の脆弱性を最初に報告した人だけが報酬対象となります。報告が重複した場合、その脆弱性が完全に再現できる最初の報告者のみ対象となります。
  4. 自動化ツールやスキャナーを利用して脆弱性の発見を行わないで下さい。そうしたレポートは却下されます。
  5. 当社サービスやクライアントデータを含むデータに損害を与える可能性のある攻撃は行わないでください。DDoS、スパム、ブルートフォース攻撃が行われたことが判明した場合、報酬は支払われません。
  6. 明確な同意なしに他のユーザーを巻き込まないで下さい。テスト中ではプライベートなアイデア、スクリプト、その他のコンテンツを作成して下さい。
  7. ソーシャルエンジニアリング(例. フィッシング、ビッシング、スミッシング)または当社の従業員、ユーザー、インフラに対する物理的攻撃など、テクニカル的でない攻撃を実行したり、試みようとしないでください。
  8. 再現可能な手順で詳細なレポートを提供してください。問題が再現できる詳細なレポートでない場合、報酬の対象外となります。
  9. 1つの根本的な問題によって引き起こされた複数の脆弱性は、1件の報奨対象となります。
  10. プライバシーの侵害、データの破壊、サービスの中断や機能低下などを避ける為、誠実なご協力をお願い致します。

対象外の脆弱性

以下の事項は対象外です。

  • ユーザーのソフトウェアに存在する脆弱性、またはユーザーのソフトウェア、アカウント、Eメール、電話等へのフルアクセスを必要とする脆弱性
  • サードパーティサービスの脆弱性や漏洩
  • サードパーティ製ソフトウェア・プロトコルの脆弱性や旧バージョン、保護の欠如、およびセキュリティ上の脅威とならないベストプラクティスからの逸脱
  • 実際のセキュリティへの影響や悪用の可能性のない脆弱性
  • 通常とは異なる操作をユーザーに要求する脆弱性
  • 公開情報または非機密情報の開示
  • ホモグラフ攻撃
  • root化、ジェイルブレイク、または改造されたデバイスやアプリケーションを必要とする脆弱性
  • 当社サービスの中断につながる可能性のあるあらゆる行為

報酬対象外となる脆弱性の例です。

  • EXIFの位置情報データが除去されていないケース
  • 機密性の高い操作のないページに対するクリックジャッキング
  • 未認証フォームや機密性の高い操作のないフォームに対するクロスサイトリクエストフォージェリ(CSRF)、ログアウトCSRF
  • 有効なPoC(概念実証)のない、弱い暗号化方式やTLS設定
  • 攻撃経路を示さないコンテンツのスプーフィングやインジェクションの問題
  • 非認証エンドポイントでのレート制限やブルートフォースの問題
  • CookieにHttpOnlyまたはSecureフラグが含まれていないケース
  • ソフトウェアバージョンの開示、バナー情報の表示、詳細なエラーメッセージやヘッダー(例: スタックトレース、アプリケーションまたはサーバーエラー)
  • 公開されたゼロデイ脆弱性で、公式パッチ提供から1ヶ月未満のものについては、個別に判断のうえ報酬を決定
  • タブナビング
  • ユーザーの存在確認。ユーザー、Eメール、電話番号の列挙
  • パスワードの複雑性要件の欠如