TradingView
バグバウンティ・プログラム

脆弱性に関心がある場合は、HackerOne経由でレポートを提出してください。

プログラムの範囲

以下の様な当社サービス、インフラ、アプリケーションのセキュリティ脆弱性に関するレポートに対して報酬を提供します:

TradingView.com とそのサブドメイン

ネイティブiOSアプリ

ネイティブAndroidアプリ

チャートソリューション

Desktop App

報酬

報酬は発見されたセキュリティ脆弱性とその脆弱性がセキュリティに及ぼす影響に依存します。詳細は以下をご覧ください。

高

当社サービス全体に影響する脆弱性の場合

リモードコード実行 (RCE)
管理者アクセスの獲得
重大な影響を与えるインジェクション
ローカルファイルまたはデータベースへの無制限アクセス
サーバーサイドリクエストフォージェリ (SSRF)
重大な情報の開示

中

ユーザーの操作を必要とせず、多くのユーザーに影響を及ぼす脆弱性の場合

重大な影響を与えるストアドクロスサイトスクリプティング (XSS)
ユーザーデータの変更またはプライベートデータへのアクセスが可能な認証バイパス
安全でないオブジェクト直接参照 (IDOR)
サブドメインの乗っ取り

低

ユーザーの操作を必要とする、もしくは個々のユーザーに影響を及ぼす脆弱性の場合

セルフXSSを除くクロスサイトスクリプティング (XSS)
クロスサイトリクエストフォージェリ (CSRF)
URLリダイレクト
ユーザー評価の操作

報酬額は異なる可能性がある事にご注意ください。実際の報酬はバグの深刻度、真正度、悪用の可能性の他、セキュリティに影響を与える環境やその他の要因によって大きく変わる場合があります。

ブログなどの補助的サービスの脆弱性や「ベータ」、「ステージング」、「デモ」などの本番環境以外の脆弱性は、当社のサービス全体に影響を与える場合、または機密性の高いユーザーデータの漏洩を引き起こす可能性がある場合でのみ報酬の対象となります。

規約

バグレポートには、発見された脆弱性の詳細な説明と、それを再現するために必要な手順、または動作のPoCを含める必要があります。脆弱性の詳細が説明されていない場合、レポートの確認に時間を要するか、レポートが拒否される可能性があります。
影響を及ぼす為に脆弱性を連鎖させる必要がある場合を除き、1つのレポートにつき1つの脆弱性を提出してください。
未知の脆弱性を最初に報告した人だけが報酬対象となります。報告が重複した場合、その脆弱性が完全に再現できる最初の報告者のみ対象となります。
自動化ツールやスキャナーを利用して脆弱性の発見を行わないで下さい。そうしたレポートは却下されます。
当社のサービスや顧客のデータを含むデータに損害を与える可能性のある攻撃は行わないでください。DDoS、スパム、ブルートフォースアタックは許可されていません。
明確な同意なしに他のユーザーを巻き込まないで下さい。テスト中ではプライベートなアイデア、スクリプト、その他のコンテンツを作成して下さい。
ソーシャルエンジニアリング（例. フィッシング、ビッシング、スミッシング）または当社の従業員、ユーザー、インフラに対する物理的攻撃など、テクニカル的でない攻撃を実行したり、試みようとしないでください。
再現可能な手順で詳細なレポートを提供してください。問題が再現できる詳細なレポートでない場合、報酬の対象外となります。
1つの根本的な問題によって引き起こされた複数の脆弱性は、1件の報奨対象となります。
プライバシーの侵害、データの破壊、サービスの中断や機能低下などを避ける為、誠実なご協力をお願い致します。