Programa de Bug Bounty e Divulgação Responsável
A segurança dos nossos membros vem antes de tudo. O programa de bug bounty do MeuPatrocínio convida pesquisadores de segurança do Brasil e do mundo a testar nossos sistemas e reportar vulnerabilidades de forma responsável.
Relatórios válidos recebem resposta rápida e recompensas de até R$ 5.000, conforme a severidade da falha.
Como reportar uma vulnerabilidade
Envie um e-mail para security@meupatrocinio.com com um relatório por vulnerabilidade. Quanto mais completo o relatório, mais rápida a triagem. Inclua:
- Descrição da falha: tipo de vulnerabilidade e onde ela ocorre (URL, endpoint ou tela).
- Passos para reproduzir: uma prova de conceito (PoC) clara, com requisições, payloads ou capturas de tela.
- Impacto: o que um atacante conseguiria fazer explorando a falha.
Escopo do programa
Em escopo
www.meupatrocinio.com(site institucional)app.meupatrocinio.com(plataforma)- Aplicativos oficiais do MeuPatrocínio para iOS e Android
- Fluxos de pagamento, e-mails transacionais e integrações com terceiros, quando a falha estiver do nosso lado (configuração, código ou fluxo do MeuPatrocínio)
Fora de escopo
- A infraestrutura dos próprios fornecedores (processador de pagamento, atendimento, CDN, provedor de e-mail). Falhas nesses sistemas devem ser reportadas ao fornecedor
- Qualquer outra infraestrutura que não pertence ao MeuPatrocínio
- Falhas em software de terceiros sem exploração comprovada no nosso ambiente
Regras do programa
Para que o teste seja considerado autorizado, siga estas regras:
- Use apenas contas criadas por você. Nunca acesse, altere ou baixe dados de outros usuários.
- Nada de negação de serviço (DoS/DDoS) ou testes que degradem a plataforma.
- Engenharia social, phishing e ataques físicos contra funcionários ou membros são proibidos.
- Evite scanners automatizados agressivos. Prefira testes direcionados e de baixo volume.
- Não exija pagamento para entregar detalhes da falha. Extorsão desqualifica o relatório e encerra a proteção desta política.
Vulnerabilidades fora de escopo
Os itens abaixo normalmente não se qualificam para recompensa, a menos que venham com uma prova de exploração de impacto real:
- Self-XSS
- Clickjacking em páginas sem ações sensíveis
- Ausência de headers de segurança (CSP, HSTS) sem PoC de exploração
- Divulgação de versão de software ou banners
- Configuração de SPF, DKIM e DMARC
- Ausência de rate limiting sem demonstração de abuso relevante
- Melhores práticas genéricas sem cenário de ataque concreto
Recompensas
As recompensas seguem a tabela abaixo. A severidade é classificada pela nossa equipe de segurança, com o CVSS como referência. O valor final dentro de cada faixa depende do impacto real e da qualidade do relatório.
| Severidade | Exemplos | Recompensa |
|---|---|---|
| Crítica | Execução remota de código, acesso a dados de outros membros, bypass de autenticação | R$ 2.500 a R$ 5.000 |
| Alta | SQL injection, XSS armazenado em área sensível, IDOR com exposição de dados pessoais | R$ 1.000 a R$ 2.500 |
| Média | CSRF com impacto real, XSS refletido, vazamento de informações sensíveis | R$ 300 a R$ 1.000 |
| Baixa | Falhas de baixo impacto com cenário de ataque demonstrado | Até R$ 300 |
Quando a mesma falha é reportada por mais de uma pessoa, a recompensa vai para o primeiro relatório válido.
Divulgação responsável e boa-fé
O MeuPatrocínio não vai acionar judicialmente pesquisadores que ajam de boa-fé, respeitem o escopo e as regras desta página e nos deem tempo razoável para corrigir o problema antes de qualquer divulgação.
Tratamos dados pessoais conforme a Lei Geral de Proteção de Dados (LGPD) e o Marco Civil da Internet. Se durante o teste você encontrar dados de qualquer usuário, pare imediatamente e nos avise no relatório.
Nosso compromisso com você
- Primeira resposta: em até 3 dias úteis.
- Triagem e validação: em até 7 dias úteis.
- Acompanhamento: você recebe atualizações até a correção e a definição da recompensa.
Perguntas frequentes
Como funciona o programa de bug bounty do MeuPatrocínio?
Você testa os sistemas listados no escopo, seguindo as regras desta página. Ao encontrar uma vulnerabilidade, envie o relatório para security@meupatrocinio.com. Nossa equipe valida o problema, corrige e paga a recompensa conforme a tabela de severidade, que chega a R$ 5.000.
Preciso de autorização para testar a plataforma?
Não. Esta página é a sua autorização, desde que você teste apenas os ativos em escopo, use contas criadas por você e respeite as regras do programa. Testes fora dessas condições não estão autorizados.
O que devo fazer se encontrar dados de outros usuários?
Pare o teste imediatamente. Não salve, copie nem compartilhe os dados. Informe o ocorrido no seu relatório para que a nossa equipe possa investigar. Tratamos dados pessoais conforme a LGPD e esperamos o mesmo cuidado de quem pesquisa.
Posso divulgar a vulnerabilidade publicamente?
Somente depois que a correção for confirmada e a nossa equipe autorizar por escrito. A divulgação coordenada protege os membros da plataforma enquanto o problema é resolvido.